Wordpress Website gehackt

[Shad0wman]

Hallo,

ich hoffe, hier kann mir jemand helfen:

Wir sind ein Fanclub mit Internetauftritt (Wordpress). Anfang März habe ich noch vor einem Update ein Backup gezogen. Da gab es kein Problem mit der Homepage. Wenn ich jetzt auf unsere Seite gehe, werde ich auf dubiose Seiten weitergeleitet.
Unser WP-Installation ist an sich mit htpasswd gesichert, bzw. der Login mit Captcha usw. Jahrelang kein Problem.
Habe nun das Inst.-Verzeichnis gelöscht und das Backup aufgespielt. War der Meinung das jetzt alles ok ist - von wegen. Gleiches Problem. Kann hier wer unterstützen, bzw. Tip geben, was ich noch machen soll/kann.
Provider ist informiert, aber wg. WE gibt es erst Montag Rückinfo. Das Inst.Verzeichnis ist vorerst umbenannt.

 

[DIDI007]

Diverse Addons haben Sicherheitslücken. Vielleicht sind deine Angreifer darüber dran gekommen.

 

[savuti]

Datenbank Backup auch aufgespielt oder nur FTP?

 

[ChAiN SaW]

Auch die Datenbank löschen und Backup einspielen. Es kann natürlich auch sein dass das Backup infiziert ist und du es damals nur nicht mitbekommen hast.

Am besten alles löschen. Dann eine frische WP Installation und danach Datenbank und Daten wieder einspielen. Danach alle Passwörter ändern und alles updaten inklusive Plugins.

 

[zivilist]

FTP/SFTP Passwort auch mal ändern (schön lang und alphanumerisch. Datenbank Passwort auch ändern (muss in WordPress dann natürlich in der Config Datei auch geändert werden).

 

[0x8100]

wordpress (und seine addons) hat ständig irgendwelche lücken. ein altes backup einspielen bringt da auch nichts. das ding muss ständig gepflegt werden - einmal installieren und laufen lassen geht nicht.

evtl. mal überlegen, ob reines html nicht auch reicht. gibt da ein paar nette generatoren.

 

[Fujiyama]

Hast du den schon die Standardsachen durch die man so im Internet findet?
Kommt ja praktisch jeden Tag vor das sowas passiert.

 

[Shad0wman]

also ich habe nur bisher die Dateien gelöscht, und den Stand von März aufgespielt, Datenbank wurde noch nichts gemacht.
Bin gerade dabei die ganzen Passwörter zu ändern. Seh grad, dass ich wohl versäumt habe die Datenbank im März zu sichern - Mist.
Muss noch ergänzen: ich mach das nebenbei für unseren Club (sonst keiner da) und bin nicht ganz sattelfest in dem Thema.

 

[zivilist]

Achso und Standard Administrator Name admin nicht verwenden.

 

[onesworld]

Datenbank wurde noch nichts gemacht.

Dann weißt du, was zu tun ist.

Und befolge die Tipps bezüglich der Aktualität der Software und der Addons.

 

[Shad0wman]

Ja, Datenbank mach ich noch, ...
Und klar: Admin etc. wurde bereits am Anfang geändert. Updates mache ich auch immer.
Kann nur so ein verf*cktes Plugin gewesen sein. Kanns mir sonst nicht vorstellen, da ich alle gängigen Sicherheitstips befolge.

 

[Shad0wman]

also mal ein kurzes Update: ich habe festgestellt, dass tatsächlich meine Datenbank verseucht wurde. Zig Sexeinträge und u.a. die Siteurl verändert usw. Konnte mit winmerge ein "Gott sei Dank" vorhandenes sql-Backup vergleichen. Muss jetzt schauen, welches Plugin da das Loch hat, ... schwierig.

 

[Relict]

Oft ist sowas irgend eine admin-ajax.php Sicherheitslücke (Adminordner), welche Optionen eines plugins oder themes in die DB übernimmt. Die kannst Du aber explizit nicht mit htaccess blocken, weil dann meist nichts mehr geht.
Ich hatte das auch mal bei einem Kunden, da lags am Theme, was seine options per ajax speicherte und ne Sicherheitslücke hatte. Konnte man in Berichten zu Sicherheitslücken ergooglen, die "Scriptkiddies" offensichtlich auch. ;-)
Beim Suchen und googlen nach hacks würde ich beim Theme anfangen und dann alle Plugins, welche vom Autor seltener mit updates versorgt werden und relativ wenig verbreitet sind. Bei den großen Platzhirschen ists eher unwahrscheinlicher.
Wenn deine siteurl in der options-table geändert wurde kannst das schon gleich mit in die Googlesuche zum plugin/theme einbeziehen. Wirst dann nicht der erste sein mit dem Problem. ;-)

 

[Shad0wman]

@Relict thx für das Feedback. Ja, ich denke, ich habe es nun soweit hinbekommen. Durch diverese Anleitungen auf diversen Blogs (Stichwort: collectfasttracks). Kurz zu den Plugins: auch aktuelle, beliebte Plugins, sind davon betroffen: ich vermute, dass dies in meinem Fall Duplicator war.

 

[Relict]

Danke. Ja, stimmt. Hatte ich ganz vergessen. Duplicator war auch letztens bei einer Seite ein Problem. Ich verwende ihn zwar nie, sondern ein anderes, aber ein Kunde. Flog gleich runter. Wenn man nicht alles selber macht....🙄 😉