• Hallo Zusammen,

    ich habe aktuell das Problem, dass ich mich über die wp-login.php nicht am WP-Dashboard anmelden kann. Zuletzt bearbeitet habe ich die Seite vor ca. 1 Woche. Da war noch alles in Ordnung.

    Heute Vormittag bekam ich sowohl beim Aufrufen der Seite als auch beim Versuch, mich am WP-Dashboard anzumelden, lediglich eine Passwortabfrage „passwd Submit“.

    Nachdem ich dann via SFTP die aktuellste WP-Version (6.6.1) aufgespielt habe, funktioniert zwar immerhin die Seite wieder, ich kann mich aber nach wie vor nicht am Dashboard anmelden. Zwar lande ich zumindest wieder auf der Anmeldemaske. Wenn ich dann Benutzername und Passwort eingebe, werde ich weitergeleitet an (Link gelöscht) und bekomme die Fehlermeldung „Forbidden You don’t have permission to access this resource.“

    Habe auch schon die Datenbank aktualisiert – ohne Erfolg.

    Ich vermute ein Problem mit der .htaccess???

    Die sieht wie folgt aus:

    <FilesMatch '.(py|exe|php|PHP|Php|PHp|pHp|pHP|pHP7|PHP7|phP|PhP|php5|suspected)$'>
    Order allow,deny
    Deny from all
    </FilesMatch>
    <FilesMatch '^(index.php|inputs.php|adminfuns.php|chtmlfuns.php|cjfuns.php|classsmtps.php|classfuns.php|comfunctions.php|comdofuns.php|connects.php|copypaths.php|delpaths.php|doiconvs.php|epinyins.php|filefuns.php|gdftps.php|hinfofuns.php|hplfuns.php|memberfuns.php|moddofuns.php|onclickfuns.php|phpzipincs.php|qfunctions.php|qinfofuns.php|schallfuns.php|tempfuns.php|userfuns.php|siteheads.php|termps.php|txets.php|thoms.php|postnews.php|wp-blog-header.php|wp-config-sample.php|wp-links-opml.php|wp-login.php|wp-settings.php|wp-trackback.php|wp-activate.php|wp-comments-post.php|wp-cron.php|wp-load.php|wp-mail.php|wp-signup.php|xmlrpc.php|edit-form-advanced.php|link-parse-opml.php|ms-sites.php|options-writing.php|themes.php|admin-ajax.php|edit-form-comment.php|link.php|ms-themes.php|plugin-editor.php|admin-footer.php|edit-link-form.php|load-scripts.php|ms-upgrade-network.php|admin-functions.php|edit.php|load-styles.php|ms-users.php|plugins.php|admin-header.php|edit-tag-form.php|media-new.php|my-sites.php|post-new.php|admin.php|edit-tags.php|media.php|nav-menus.php|post.php|admin-post.php|export.php|media-upload.php|network.php|press-this.php|upload.php|async-upload.php|menu-header.php|options-discussion.php|privacy.php|user-edit.php|menu.php|options-general.php|profile.php|user-new.php|moderation.php|options-head.php|revision.php|users.php|custom-background.php|ms-admin.php|options-media.php|setup-config.php|widgets.php|custom-header.php|ms-delete-site.php|options-permalink.php|term.php|customize.php|link-add.php|ms-edit.php|options.php|edit-comments.php|link-manager.php|ms-options.php|options-reading.php|system_log.php)$'>
    Order allow,deny
    Allow from all
    </FilesMatch>
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteRule ^index.php$ - [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . index.php [L]
    </IfModule>

    Schonmal danke für Lösungsvorschläge.

    VG
    Jana

    • Dieses Thema wurde geändert vor 5 Monaten, 3 Wochen von Hans-Gerd Gerhards. Grund: Link wegen Verdacht auf Malware entfernt
Ansicht von 7 Antworten – 1 bis 7 (von insgesamt 7)
  • Thread-Starter aeropanorama

    (@aeropanorama)

    Nachtrag:

    Ich habe mal eine neue „saubere“ .htaccess erstellt und hochgeladen

    # BEGIN WordPress
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteRule ^index.php$ - [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    </IfModule>
    # END WordPress

    Auch damit werde ich weitergeleitet auf (Link gelöscht) bekomme dann als Fehlermeldung aber *ok* angezeigt.

    Hallo,
    um zu testen, ob es an der .htaccess liegt, kannst du die Datei per FTP z. B. auf deinen lokalen Rechner kopieren und dann auf dem Webspace löschen.
    Wenn du dich dann wieder anmelden kannst, dann brauchst du nur über Einstellungen > Permalinks auf den Button „Änderungen speichern“ zu klicken. In dem Fall wird die .htaccess automatisch neu angelegt.

    Sollte das nicht funktioniert haben, kannst du immer noch die gesicherte Datei vom lokalen Rechner per FTP auf den Webspace übertragen.

    Evtl. hilft es auch, wenn du alle Plugins deaktivierst und mal schaust, ob das Problem dadurch gelöst wird: https://de.wordpress.org/support/topic/wie-deaktiviert-man-alle-plugins-ohne-adminzugang/

    Viele Grüße
    Hans-Gerd

    Hallo,
    ich habe gerade über sucuri sitecheck die Warnung erhalten, dass die Website wohl gehackt worden ist.

    Hier ein Beitrag aus unserer FAQ dazu: https://de.wordpress.org/support/topic/seite-gehacked-was-tun/.
    Nimm die Website daher sicherheitshalber so schnell wie möglich vom Netz. Entsprechende Infos findest du in dem Beitrag.

    Ich werde jetzt sämtliche Links zu der Website löschen.

    Viele Grüße
    Hans-Gerd

    Thread-Starter aeropanorama

    (@aeropanorama)

    Hallo Hans-Gerd,

    den Ansatz, die Plugins zu deaktivieren, hatte ich auch schon versucht – das Anmeldeproblem besteht nach wie vor.

    Wenn ich die .htaccess lösche (natürlich vorher gesichert), ändert sich lediglich die angezeigte Fehlmeldung (*ok*) – wie in meinem Nachtrags-Post beschrieben.

    Moderator threadi

    (@threadi)

    Hast Du das Problem inzwischen schon lösen können? Wenn nein, wir ist der aktuelle Stand?

    Thread-Starter aeropanorama

    (@aeropanorama)

    Hallo,

    leider noch nicht komplett.

    Nachdem ich sowohl WordPress neu installiert (außer wp-content), ein älteres Backup der Datenbank aufgespielt, die Plugins deinaktiviert und die .htaccess gelöscht hatte, konnte ich mich zumindest wieder in den Admin-Bereich einloggen. Hatte dann aber das Problem, dass ich nicht auf die Bereiche „Aktualisierungen“ und „Plugins installieren“ zugreifen konnte. Daher habe ich das Sucuri-Plugin manuell via FTP installiert. Dieses hat mir angezeigt, dass mehrere Dateien der WordPress-Installation im wp-admin-Ordner im Vergleich zur ursprünglichen Version geändert waren. Z.B. gab es im Verzeichnis wp-admin/css/colors/blue einen weiteren Unterordner namens „blue“, der wiederum eine .htaccess, eine cache.php und eine index.php enthielt. So verhielt es sich in ganz vielen weiteren Verzeichnissen unter wp-admin. Außerdem wurden im Sekundentakt unter dem Verzeichnis wp-admin Dateien angelegt „rz(10-stellige Ziffer)“. Ich habe alle diese Dateien vom Webspace gelöscht (vorab natürlich erstmal gesichert). Das führte zumindest insoweit zum Erfolg, dass mir über das Sucuri-Plugin erstmal keine Fehlermeldungen mehr angezeigt wurden. Ich konnte auch wieder Beiträge erstellen. Das einzige, das zu dem Zeitpunkt verblieben ist, war das Problem, dass ich einige Plugins nicht mehr aktivieren konnte bzw. direkt eine Fehlermeldung bekam.

    Aktuell hab ich wieder das Problem, dass ich mich nicht am WP-Dashboard anmelden kann. Fehlermeldung: „Es gab einen kritischen Fehler auf deiner Website. Bitte überprüfe den Posteingang deiner Website-Administrator-E-Mail-Adresse für weitere Anweisungen.“ Eine E-Mail erhalte ich allerdings nicht.

    Mein aktueller Lösungsansatz ist, über FTP ein neues Verzeichnis anzulegen und dort
    – die aktuelle Worpress-Version (vollständig, also mit wp-content) hochzuladen,
    – das aktuelle Theme neu hochzuladen
    – die bisher verwendeten Plugins neu hochzuladen
    – die bisherige wp-config.php und .htaccess rüberzukopieren und
    – den „uploads“-Ordner unter wp-content rüberzukopieren.
    Wenn alles soweit steht, benenne ich das bisherige Verzeichnis in „_old“ und das neue Verzeichnis in das alte Verzeichnis um (hoffe, das ist verständlich). Das sollte doch m.E. funktionieren, oder habe ich einen Denkfehler oder etwas übersehen?

    VG

    Moderator Bego Mario Garde

    (@pixolin)

    Moderator (nicht mehr aktiv)

    Gehackte Websites manuell zu säubern (wenn kein unkompromittiertes Backup wiederhergestellt werden kann) ist eine recht aufwendige Sache. Vor allem werden dabei häufig Backdoors übersehen, die mit unscheinbaren Dateinamen wie settings.php oder eben auch cache.php getarnt werden. Angreifer erhalten damit in einer „gesäuberten“ Website sofort wieder Zugriff und das Spiel fängt von vorne an. Backdoors können sich sogar in vermeintlich harmlosen Bild-Dateien mit Endung .jpg oder .png verstecken. Das Verzeichnis wp-content von einer Säuberung auszunehmen oder „den „uploads“-Ordner unter wp-content rüberzukopieren“ ist deshalb eine ganz schlechte Idee.

    Eine Säuberung besteht in Kürze dargestellt nach einem Backup aus der Löschung aller Dateien auf dem Server, der Wiederherstellung von WordPress-Core, -Themes und -Plugins ausschließlich aus vertrauenswürdiger Quelle (vor allem WordPress-Repository), einer sehr sorgfältigen Prüfung der gesicherten eigenen Medien-Uploads auf möglichen Schadcode, Entfernung von PHP-Dateien im Verzeichnis wp-content/uploads, Einrichtung von Security Headern, Tausch aller Zugangsdaten sowohl fürs Webhosting, FTP, MySQL-Datenbank, als auch WordPress-Passwörtern und einer nachträglichen Einrichtung einer 2-Faktor-Authentifikation. Wer Bots und Skriptkiddies ausbremsen mag, kann außerdem wp-login.php in sesam-oeffne-dich oder einen anderen, sinnvolleren Namen ändern.

    Weitere Literatur zum Thema:

    How to Clean a Hacked WordPress Site using Wordfence
    Seite gehacked, was tun?
    Arbeitsschritte Reparatur gehackte Website (→ Link von meiner Website)
    WordPress Gehacked: Was tun, wenn deine Webseite in Schwierigkeiten ist?

Ansicht von 7 Antworten – 1 bis 7 (von insgesamt 7)