DE
EN
Ein gehackter WordPress-Shop ist ein Albtraum: Plötzlich landen Besucher auf Phishing-Seiten, Google entwertet die Domain, und das Vertrauen der Kunden bröckelt. Der wp-sleeeps-Hack ist eines der bekanntesten Beispiele dafür, wie Angreifer über eine Plugin-Schwachstelle einen ganzen Shop in eine Weiterleitungsfalle verwandeln können. Wir zeigen dir, wie du den Befall erkennst, sofort reagierst und deinen Shop danach so absicherst, dass er für ähnliche Angriffe geschlossen ist.
So erkennst du, ob dein Shop vom wp-sleeeps-Hack betroffen ist
Typische Symptome:
- Besucher werden direkt von der Startseite auf fremde Domains weitergeleitet (z. B.
studentswimcorn-5.live, Telekom-Fake-Gewinnspiele, „1000 € Amazon Geschenkkarte“). - In der WordPress-Fehlerausgabe oder im Error-Log taucht
wp-sleeeps/wp-sleeeps.php on line 26auf. - Im Plugin-Verzeichnis
/wp-content/plugins/wp-sleeps/liegen Dateien, die du nicht installiert hast. - In
wp-config.phpoderindex.phpstehen unbekannteeval()– oderbase64_decode()-Aufrufe. - Google Search Console meldet „Sicherheitsproblem“ oder Spam-URLs werden plötzlich indexiert.
Was am 26. Dezember 2020 passiert ist (Originalbericht)
Hacker haben eine Sicherheitslücke in mit WordPress erstellten Internetseiten entdeckt und ein Plugin namens wp-sleeps eingeschleust. Hier erhalten Sie Hilfe!
Soforthilfe unter 04122/9669868
Gestern um 18.10 Uhr (26.12.2020) erhielten wir auf einer WordPress Website diese Fehlermeldung:
wp-sleeeps/wp-sleeeps.php on line 26
Die WordPress Seite wird umgeleitet auf https://studentswimcorn-5.live/ und es erscheint z.B. eine Telekom Meldung:
Sehr geehrter Telekom(T-Mobile) @C, Kunde! Wir möchten uns bei Ihnen für Ihr Vertrauen gegenüber Telekom(T-Mobile) @C, bedanken und geben Ihnen deshalb die exklusive Möglichkeit am Sonntag 27 Dezember 2020 ein Amazon €1000 geschenkkarte zu gewinnen. Alles, was Sie tun müssen, ist das richtige Geschenk auszuwählen. Viel Glück!
Oder:
Sie haben die milliardste Suche getätigt
Oder:
| Sie sind der glückliche Gewinner dieses Tages: Dezember 27, 2020 | |
| Bitte füllen Sie diese kleine Umfrage aus. Als Dankeschön haben Sie die Chance, eine 1000€ Amazon Geschenkkarte zu gewinnen! | |
Es scheint, das Hacker eine Sicherheitslücke in WordPress entdeckt haben und ein Plugin namens wp-sleeps eingeschleust haben.
Wir haben zunächst im Ordner wp-sleeps (Pfad: /wp-content/plugins/wp-sleeps) alle Daten gelöscht.
Wie die Hacker WordPress nun genau gehackt haben müssen wir analysieren. Die gehackte WordPress Homepage läuft aber wieder normal.
Sie benötigen dringend Hilfe?
Rufen Sie uns an unter 040-53206688 oder per E-Mail: jhk@storetown-media.de
Oder schreiben Sie uns hier im Formular:
Sofort-Maßnahmen — die richtige Reihenfolge zählt
- Site offline nehmen: Maintenance-Mode-Plugin oder eine
.htaccess-Sperre, damit keine weiteren Besucher Schaden nehmen. - Vollbackup von Datenbank und Filesystem — Stand vor der Bereinigung, damit Forensik möglich bleibt.
- Plugin-Ordner
/wp-content/plugins/wp-sleeps/löschen. - Alle Kern-Dateien aus dem offiziellen WordPress-ZIP frisch überschreiben (außer
wp-content/). - Datenbank scannen:
SELECT * FROM wp_options WHERE option_value LIKE '%base64_decode%'und%eval(%. Verdächtige Rows manuell prüfen. - Alle Passwörter (Admin-Accounts, FTP, MySQL, Hosting-Panel) ändern.
- Salt-Keys in
wp-config.phpneu generieren über die offizielle WP-Salt-API — invalidiert alle bestehenden Login-Cookies und Sessions.
Prävention: damit der nächste Angriff abprallt
Nach der Bereinigung kommt die wichtigere Arbeit — den Shop so absichern, dass Angreifer keinen zweiten Treffer landen:
- Plugin-Hygiene: keine Nulled-Plugins, kein Plugin ohne Updates der letzten 12 Monate, möglichst wenige Plugins aktiv.
- Auto-Updates für WordPress-Core und Plugins aktivieren (mindestens für Security-Releases).
- Web Application Firewall wie Wordfence, iThemes Security oder eine Server-WAF (z. B. ModSecurity).
- 2-Faktor-Authentifizierung für alle Admin-Accounts.
- Login-Hardening:
/wp-admin/auf einen anderen Pfad legen, Brute-Force-Limits setzen. - Datei-Integritäts-Monitoring: tägliche Hash-Checks der Core-Dateien.
- Regelmäßige Backups — automatisiert, off-site gespeichert, getestet.
Häufige Fragen zum wp-sleeeps-Hack
Muss ich nach einem Hack wirklich alles neu aufsetzen?
Nicht zwingend, aber empfohlen. Wenn der Befall früh erkannt wurde und du nur eine Datei-Manipulation siehst, reichen Core-Dateien-Refresh und Datenbank-Scan oft aus. Bei tiefen Backdoors (mehrere Plugins betroffen, Datenbank-Injections) ist ein Neuaufsetzen aus einem sauberen Backup oft schneller und sicherer.
Wie verhindere ich, dass Google meine Domain als unsicher markiert?
Sofort handeln: Bereinigung in unter 24 Stunden, dann in der Search Console „Sicherheitsproblem überprüfen“ beantragen. Google schaltet die Warnung normalerweise innerhalb von 72 Stunden wieder ab.
Was ist mit Kundendaten — muss ich melden?
Wenn personenbezogene Daten betroffen sein könnten (Bestellungen, E-Mail-Adressen, Passwort-Hashes), gilt nach DSGVO Art. 33 eine 72-Stunden-Meldepflicht an die Datenschutzbehörde. Im Zweifel den Datenschutzbeauftragten kontaktieren.
Lohnt sich ein Pentesting nach dem Hack?
Bei produktiv genutzten Shops mit Umsatz: definitiv. Ein externer Audit findet die Schwachstelle, die der Angreifer ausgenutzt hat, und zeigt weitere offene Flanken auf.
Brauchst du sofort Hilfe?
Wir bereinigen kompromittierte WordPress- und WooCommerce-Shops in der Regel innerhalb weniger Stunden — inklusive Ursachen-Analyse, Härtungs-Plan und Search-Console-Bereinigung. Mehr dazu auf unseren Service-Seiten WordPress-Agentur Hamburg und Wartung & Support.
Unsere Seite war leider auch von dem Virus betroffen. Aber dank der schnellen Hilfe läuft jetzt wieder Alles!
Danke Hr. Kummert, wir hätten sonst ein grosses Problem! Komme gerne nochmal in anderer Sache auf Sie zu…
LG,
Jenny Hardenberg