WP-Admin Re-Direct HACK

[hxnsii]

Moin,

alle meine Wordpress Seiten wurden gehackt da ich nur mangelhafte Passwörter und co verwendet habe, bin also selber Schuld das weiß ich schon, da mir das nun schon sehr oft vorgehalten wurde.
Auch BackUps habe ich leider kaum bis keine was mich nun ziemlich aufschmeißt.

Das Problem ist, meine Websites existieren mit allem Content noch und funktionieren - NUR die WP-Admin Login Seite hat nun einen Re-Direct auf fragwürdige Viagra und Pharma Verkaufsshops. D.h. ich komme nicht mehr ins Admin Dashboard was mich eben vor das Problem stellt das ich sie nicht mehr bearbeiten kann.

Weiß jemand wie ich es vielleicht irgendwie behoben bekomme?

Also zusammengefasst:

• Die Seiten (z.B. alexwalter.eu oder mdsthannes.de) funktionieren Problemlos, sämtlicher Content ist noch da - nur sobald ich mich als Admin anmelden will werde ich immer redirectet auf diese Pharma Shops. Auch wenn ich direkt mit Elementor oder sonstigem bearbeiten will.
• D.h. wahrscheinlich ist irgendwo ein ReDirect der mich auf diese wundervolle Seite führt
• BackUps habe ich kaum bis gar nicht, das war eigene Dummheit das weiß ich.

Ergänzung (12. März 2022)

Hoffe überhaupt das ich hier richtig bin mit solch einem Problem..

 

[slrzo]

Zugriff per FTP hast du aber noch oder? Dann würde ich die "Original"-Seiten von Wordpress neu hochladen. Hört sich zumindest für mich an, als ob die ursprünglichen Dateien mit irgendwelchen Skripten ausgetauscht wurden.

Evtl. auch ne .htaccess die umleitet? kA

 

[hxnsii]

Ja also ich kann in Plesk auch noch auf alle Dateien zugreifen usw.
In der .htaccess habe ich nachgeschaut dort finde ich nichts :/
Kenne mich halt auch tbh nicht mit FTP und co aus das macht das ganze ohnehin noch schwieriger für mich

 

[dermatu]

Wenn du auf die Dateien zugreifen kannst, dann lade dir doch einfach wordpress von der homepage runter (https://de.wordpress.org/latest-de_DE.zip) und ersetze auf deinem Server die
/wp-admin/admin.php durch die runtergeladene datei

 

[thealex]

mal die originale wp-login.php hochladen, vllt. wurde die direkt bearbeitet? Grundsätzlich sollte es da Chancen geben. Datenbank dumpen und neue WP-Instanz aufsetzen notfalls..

 

[Helge01]

Ich analysiere schon seit vielen Jahren Angriffe auf Wordpress Installationen und das die in letzter Zeit immer häufiger und aggressiver geschehen. Du hast selbst mit guten Passwörtern nicht annähernd eine Chance das sicher zu betreiben. Die meisten Wordpress Installationen sind schon seit Jahren gehackt ohne das die Betreiber davon was bemerken. Diese werden dann für andere Aktionen missbraucht.

Deine Installation wurde bestimmt auch schon lange übernommen und du hast es jetzt nur bemerkt da was offensichtliches geändert wurde. Lass das jemanden machen der Ahnung davon hat, es müsste alles gelöscht werden bis auf das wp-content Verzeichnis, wp-config.php und Datenbank. Anschließend müssen diese Sicherungen auf Schadcode überprüft werden. Anschließend Wordpress neu installieren und das Absichern von jemanden machen lassen der wirklich was davon versteht.

 

[hxnsii]

Also meine .htaccess sieht aktuell so aus:
<FilesMatch ".(py|exe|phtml|php|PHP|Php|PHp|pHp|pHP|phP|PhP|php5|suspected)$">
Order Allow,Deny
Deny from all
</FilesMatch>
<FilesMatch "^(old-index.php|wp-admin.php|1index.php|2index.php|3index.php|wikindex.php|index.php|wp-load.php|admin.php|wp-login.php)$">
Order Allow,Deny
Allow from all
</FilesMatch>

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . index.php [L]
</IfModule>


ist dort etwas was nicht so sein sollte?

 

[Dr. McCoy]

Sichere Passwörter von sauberem, malwarefreiem System definieren (für alle Bereiche der Website, auch FTP, Datenbanken / PHPMyAdmin, usw.), Webhoster über Hacks in Kenntnis setzen (hoffentlich ist das kein Root-Server, den Du selbst administrierst), Datenbanken leeren, via FTP alle Ordner der Wordpress-Installation löschen.

Anschließend Wordpress frisch installieren und Datenbackups (Deine Texte / Deinen Content) von vor dem Hack einspielen.

Auf jeden Fall kannst Du da jetzt nicht einfach rumbasteln, und nur hier und da 'ne Kleinigkeit löschen, sonst setzt Du Deine Besucher fahrlässig weiteren Gefährdungen aus.

Du hast selbst mit guten Passwörtern nicht annähernd eine Chance das sicher zu betreiben.

Das kann man so pauschal nicht stehen lassen. Es gibt sehr wohl sehr gute und sehr effektive Absicherungsmaßnahmen, siehe z.B. hier in der vielteiligen Artikelserie:

-> https://www.kuketz-blog.de/der-richtige-hoster-wordpress-sicherheit-teil1/

Und genau dies sollte sich insbesondere @hxnsii aufmerksam durchlesen und künftig umsetzen.

 

[Helge01]

Es gibt sehr wohl sehr gute und sehr effektive Absicherungsmaßnahmen

Natürlich gibt es effektive Absicherungsmaßnahmen, aber allein nur sichere Passwörter reichen dazu bei weitem nicht aus. Das wird dann sehr schnell aufwendig und komplex, vor allem sollte man auch verstehen was man da tut und nicht einfach Copy & Paste von irgendwelchen im Internet gefundenen Anleitungen oder Befehlen anwenden.