Poste bitte mal den Inhalt der .htaccess
deiner Website.
Thread-Starter
urbfac
(@urbfac)
<FilesMatch ".(py|exe|php)$">
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch "^(index.php|lock360.php|wp-l0gin.php|wp-the1me.php|wp-scr1pts.php|wp-admin.php|radio.php|content.php|about.php|wp-login.php|admin.php|mah.php|jp.php|ext.php)$">
Order allow,deny
Allow from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
Mit
<FilesMatch ".(py|exe|php)$">
Order allow,deny
Deny from all
</FilesMatch>
verbietest du die Ausführung von Python-Skripten, Windows-Programmen und PHP-Skripten. Das Backend von WordPress besteht aber aus PHP-Skripte und sobald du diese aufrufst, bekommst du einen Hinweis, dass die Ausführung verboten ist.
Ändere das bitte auf
<FilesMatch ".(py|exe)$">
Order allow,deny
Deny from all
</FilesMatch>
und schau, ob das Backend danach wieder geht.
Dass du überhaupt ins Backend kommst, hängt an der nachfolgenden Regel, mit der du die Ausführung verschiedener Skripte ausdrücklich erlaubst:
<FilesMatch "^(index.php|lock360.php|wp-l0gin.php|wp-the1me.php|wp-scr1pts.php|wp-admin.php|radio.php|content.php|about.php|wp-login.php|admin.php|mah.php|jp.php|ext.php)$">
Order allow,deny
Allow from all
</FilesMatch>
Die ausdrückliche Freigabe von lock360.php
lässt eher eine vorhandene Malware vermuten.
Du solltest entweder ein unkompromittiertes Backup wiederherstellen (wenn du selber keins hast, frag deinen Webhoster) oder jemand mit der Beseitigung der Malware beauftragen.
Thread-Starter
urbfac
(@urbfac)
Ist nach wie vor das gleiche Problem.
Ist vielleicht eine etwas dämliche Frage aber du meintest die .htaccess
im Verzeichnis der Website oder bei den Plugins. Ich habe es jetzt bei der Website verändert
Ist nach wie vor das gleiche Problem.
Gut möglich, dass deine Änderung direkt wieder überschrieben wird. Der Sicherheits-Plugin-Entwickler Sucuri nennt das „PHP Re-Infectors„.
Ich hatte noch ein paar Zeilen nachräglich eingefügt. Lies dir das bitte noch durch.
Vorsichtshalber der freundliche Hinweis: Jobangebote sind hier im Forum ausdrücklich unerwünscht.
Alternativ kannst du die .htaccess
in .htaccess.old
umbenennen und dich erneut im Backend anmelden. Das sollte, sofern die Malware nicht direkt eine neue .htaccess
anlegt, funktionieren. Gehst du dann auf Einstellungen > Permalinks, stellt WordPress eine neue .htaccess
her, in der die Weiterleitungsregeln für die Permalinks stehen.
Sollte etwas schief gehen, kannst du .htaccess.old
als .htaccess
kopieren. Wir sprechen hier von der Datei im Web-Stammverzeichnis. In den Verzeichnissen wp-admin
und wp-includes
sollte es keine .htaccess
geben.
Thread-Starter
urbfac
(@urbfac)
Das Problem ist, dass ich nicht auf die Permalinks in den Einstellungen komme, da dann wieder der Fehler 403 angezeigt wird.
Neben der .htaccess Datei gibt es noch .htaccess.preinstall, was nach dem Artikel, den du mir geschickt hast, auffällig wirkt. Die Datei kann ich auch nicht bearbeiten.
Wie gesagt: lass jemand drüber schauen, der das öfters macht.
Du kannst natürlich auch selber versuchen, die Website zu bereinigen. Dafür gibt es einige Anleitungen, z.B. How to Remove Malware & Clean a Hacked WordPress Site. Allerdings übersehen Einsteiger öfters Backdoors, die sich hinter unauffälligen Dateinamen oder auch in vermeintlichen Grafikdateien verbergen können.
Da wir von hier aus nicht viel tun können und die Ursache des Problems klar ist, ändere ich den Status des Threads auf „gelöst“.