Admin-Passwort wurde geändert (nicht von mir)

lenabeee
(@lenabeee)

vor 11 Monaten, 2 Wochen

Hallo zusammen, ich habe jetzt einige Zeit recherchiert, aber ich weiß nicht, ob ich in diesem Fall irgendwie die falschen Stichworte wähle oder ob mein Fall doch irgendwie sehr selten ist…

Der Admin meiner Website hat heute morgen (Sonntag, 6:15) ein neues Passwort bekommen. Man kann ja beim Anmelden auf „Passwort vergessen“ klicken mit einem zugesendeten Link ein neues erstellen. Aber so wurde das nicht gemacht, denn dann hätte ich ja auf diese Mailadresse eine Benachrichtigung bekommen.

Ich habe das Passwort wieder geändert und getestet, wie sowas passiert: meiner Meinung nach nur, wenn man im WordPress auf dem Benutzer das Passwort direkt ändert. Das heißt aber auch, jemand hatte wohl die Zugangsdaten und konnte das dort ändern.

Ich kann ausschließen, dass es ich oder jemand anderes war, der diese Zugangsdaten hat. Vorallem macht das hier niemand um diese Uhrzeit Sonntags.

Kennt ihr einen solchen Fall? Wurde meine Website gehackt? Ich kann bisher keine Änderungen oder Ähnliches feststellen, aber ich weiß auch nicht, was genau ein Hacker mit welchen Daten anfangen möchte. Er würde natürlich in den einzelnen Bestellungen Bankverbindungen meiner Kunden finden…

Ich wäre ganz dankbar um Rat.

LG Lena

Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 5 Antworten - 1 bis 5 (von insgesamt 5)

Moderator Hans-Gerd Gerhards
(@hage)

vor 11 Monaten, 2 Wochen

Hallo,
das klingt leider nach einer Backdoor in WordPress.
Auch wenn die Seite https://sitecheck.sucuri.net/ außer mixed content keine Malware gefunden hat, solltest du dir den Beitrag Seite gehacked, was tun? aus unserer FAQ bzw. den dort ebenfalls angesprochenen englischsprachigen Beitrag durchlesen und entsprechend reagieren.

Hilfreich könnte auch die Facebookgruppe WordPress Sicherheit – Hackerangriffe, Sicherheitslücken, etc. sein.

Viele Grüße
Hans-Gerd

stefco76
(@stefco76)

vor 11 Monaten, 2 Wochen

Hi Lena,
das gleiche ist mir gestern passiert – daraufhin habe ich das Kennwort wieder geändert. Die Paßwortänderung hat nicht lange angehalten. Vor wenigen Minuten habe ich die Benachrichtigung bekommen, dass es erneut geändert wurde.

Ich habe erst einmal einen neuen Admin-User angelegt und den anderen gelöscht, in der Hoffnung, dass ich erst einmal ein wenig Ruhe habe um die einzelnen Schritte aus den FAQs durchzuführen.

Thread-Starter lenabeee
(@lenabeee)

vor 11 Monaten, 2 Wochen

Hi stefco, danke für die Nachricht. Spannend, dass das bei dir auch in so kurzer Zeit passiert ist. Ich habe bei meinem Hostinganbieter angerufen, der konnte mir die Sicherungen der Datenbank und FTB von vor 2 Tagen einspielen. Werde jetzt noch nach ein paar zusätzlichen Sicherheitsplugins schauen und hoffen, dass das nicht nochmal passiert. Übrigens konnte ich bei allinkl auch einstellen, dass Log-Files erstellt werden und somit nachverfolgbar wird, welche IP wann Zugriff nimmt, sodass man im tatsächlichen Falle eines Hackangriffs wenigstens ein paar Infos mehr herausfindet.

Thread-Starter lenabeee
(@lenabeee)

vor 11 Monaten, 2 Wochen

@hage danke dir! Ich habe gleich bei allinkl angerufen, sind super hilfsbereit und haben mir die Sicherungen von vorgestern eingespielt. Ich hoffe, ich kann die Sicherheitslücken mit ein paar guten Plugins schließen oder wenigstens verkleinern.

Moderator Hans-Gerd Gerhards
(@hage)

vor 11 Monaten, 2 Wochen

@lenabeee
Die Frage ist immer, ob und wann evtl. Backdoors eingebaut worden sind. So leid es mir tut, aber das kann durchaus schon vor Wochen oder sogar Monaten erfolgt sein. In dem Fall würde dir das eingespielte Backup leider auch nicht helfen.

Außerdem werden auch aus unterschiedlichen Gründen nicht alle Sicherheitslücken in Plugins gefixt, siehe z. B. hier.

Ansicht von 5 Antworten - 1 bis 5 (von insgesamt 5)

Das Thema „Admin-Passwort wurde geändert (nicht von mir)“ ist für neue Antworten geschlossen.

Admin-Passwort wurde geändert (nicht von mir)

Themen-Schlagwörter

Ansichten