Support » Allgemeine Fragen » Beiträge

  • Gelöst yychen0925

    (@yychen0925)


    Hallo zusammen,

    seit mehreren Wochen werden vereinzelt Beiträge vom Benutzer „Admin“ erstellt, die eigentlich von keinem aktiven Administrator erstellt worden sind.

    Es handelt sich meistens um Casino Beiträge. In der Regel sind diese Beiträge dann auf Russisch. Gestern war einmal auch ein deutscher Casino Beitrag dabei.

    Das Interessante ist, dass diese Beiträge im Backend als auch auf der Startseite im Newsbereich erscheinen. Hier werden nur 2 Beiträge angezeigt. Aber auf der eigentlichen Newsseite wo alle Beiträge aufgelistet sind, sind diese komischen Casino Beiträge nicht vorhanden. Wenn man auf „erfahre mehr“ klickt, gelangt man auch zur Newsdetailansicht.

    Habt Ihr auch schon mal etwas ähnliches gehabt?

    Ich habe auf der Webseite auch Wordfence installiert. Hier wird mir nichts Auffälliges angezeigt. Kann es evtl. an den Standard Benutzer „Admin“ legen, der noch nie aktiv war? Denn von diesem wurden angeblich die Beitäge erstellt. Sicherheitshalber habe ich diesen Benutzer auch gelöscht, denn wie gesagt, dieser war nie aktiv. Dsa war der damalige Standard Admin Zugang.

    Worpdress als auch die vewendeten Plugins sind auch auf dem aktuellen Stand.

    Würde mich über eure Hilfe sehr freuen.

    Vielen Dank im Voraus!

    Liebe Grüße
    Tania

Ansicht von 13 Antworten - 1 bis 13 (von insgesamt 13)
  • Moderator Bego Mario Garde

    (@pixolin)

    Gut möglich, dass deine Website gehackt wurde und der Angreifer sich (um es bequemer zu machen) ein eigenes Administratoren-Konto eingerichtet hat.

    Was ist denn unter Einstellungen > Allgemein unter „jeder kann sich registrieren“ eingestellt? Ist das aktiviert? Wenn ja, mit welcher Rolle?

    Wahrscheinlich ist es aber erforderlich, die Website von Malware zu bereinigen. Genaueres kann man nur sagen, wenn man sich den Code und die Datenbank der Website anschaut – das können wir hier nicht übernehmen. Wenn du dich nicht sehr gut auskennst, solltest du das von einem Dienstleister prüfen lassen.

    All-in-One-Security-Plugins sind so eine Sache, weil sie schnell den Eindruck hinterlassen, mit ein paar Mausklicks alles für die Sicherheit getan zu haben. Ich rate eher von der Verwendung ab.

    Thread-Starter yychen0925

    (@yychen0925)

    Hallo Bego Mario Garde,

    vielen Dank für die schnelle Rückmeldung.

    Dieser eine adminzugang war ja bereits vorhaden. Das war der damalige Standardadministrator den ich nie gelöscht habe, wieso auch immer.

    Auf dem FTP habe ich auch geschaut. Da finde ich auch keine modifizierten Dateien.

    Mit dem Wordfence habe ich bis jetzt eigentlich relativ gute Erfahrungen gemacht. Eine andere Seite wurde mal richtig gehackt und mit dem Plugin konnte man das auch sofort sehen, man konnte auch sehen welche Dateien und und und.

    Zu deiner Frage: Was ist denn unter Einstellungen > Allgemein unter „jeder kann sich registrieren“ eingestellt? Ist das aktiviert? Wenn ja, mit welcher Rolle?
    -> Die Checkbox ist nichts aktiviert.

    Liebe Grüße
    Tania

    Moderator Bego Mario Garde

    (@pixolin)

    Es kann natürlich sein, dass einfach nur per Brute-Force („Passwort-Raten“) jemand das Passwort dieses Administrators gehackt und dann das account ausgenutzt hat. Allerdings hinterlassen Angreifer gerne Backdoors, die sich in Dateien mit wenig auffälligen Namen (/blog/default.php) oder sogar in Mediendateien (header.jpg) verstecken können.

    WordFence ist beliebt und bietet Anwendern, die sich nicht im Detail mit der Sicherheit ihrer Website beschäftigen möchten, mehr Einstellungsmöglichkeiten. Ich sehe das Plugin trotzdem kritisch, weil es ein trügerisches Gefühl für Sicherheit vermittelt.

    Ob die Löschung des Administratoren-Account reicht, findest du spätestens heraus, wenn weitere Beiträge veröffentlicht werden. Ein Backup der Website wäre nicht verkehrt, selbst wenn die Website Malware enthält. (Bei einer Website mit Malware lässt sich noch etwas machen, bei gelöschten Inhalten wird’s schwieriger.)

    Pascal

    (@kitepascal)

    Hi Tania,

    ändere unbedingt auch das Datenbank Passwort – manchmal wird per direkt etwas reingeschossen, wenn DB von extern erreichbar.
    Deine weiteren Beschreibungen der Symptomatik lassen mich das fast vermuten.
    Das läuft in so einem Fall dann natürlich komplett an jeglicher Plugin-Firewall vorbei.

    Besser als Wordfence (Free) ist die NinjaFirewall.

    https://website-bereinigung.de/blog/wordpress-absichern#ninjafirewall

    Auch die Salts in der wp-config.php sollten erneuert werden.
    https://api.wordpress.org/secret-key/1.1/salt/

    Schadcode in Mediendateien kommt gelegentlich auch vor – allerdings muss der durch weiterreichende Mechanismen/Lücken/Schadcodes auch erst mal ausgeführt werden können.

    Gruß

    Pascal

    • Diese Antwort wurde geändert vor 1 Jahr von Pascal. Grund: Ergänzung
    Moderator Bego Mario Garde

    (@pixolin)

    @kitepascal

    Hey Pascal, magst du den Nachtrag mit den SALTs noch erklären?

    Nehmen wir an, ein Administrator setzt lokal eine Website auf und verwendet die Zugangsdaten „admin:password“, verpasst aber beim Übertragen auf den Server, die Daten zu ändern. Passwort zu hacken ist eine Sache von 2 Sekunden, Beiträge zu schreiben dauert auch nur Sekunden. Aber was hat das nun mit den SALTs zu tun?

    Nehmen wir an, der Admin war doch nicht ganz so doof und hat leider nur ein schwaches Passwort gewählt. Brute-Force, Passwort gehackt, Beitrag online. Auch hier sehe ich noch nicht, was das mit den SALTs zu tun hat?

    Selbst wenn der Angreifer die mehrfach gehashten Passwörter notiert hat und die SALT-Keys kennt, kann er nicht die Passwörter im Klartext lesen.

    Übersehe ich da etwas? (Ernst gemeinte Frage – ich lerne immer gerne dazu.)

    Pascal

    (@kitepascal)

    Das Warum kann ich aktuell nicht erörtern – ich weiß nur, dass ich ein mal einen Fall hatte, da kam es auch wieder zu Spam (selbst nach Änderung der DB credentials) und nach Änderung der Salts und (nochmaligen) Neusetzens der Passwörter, war Ruhe.
    Womöglich Zufall. Oder bei den Admin User PW Änderungen wurde zuvor eins vergessen.

    Vielleicht macht’s auch keinen Sinn – Schaden kann’s jedoch nicht. Der Rest ist hoffe ich hilfreich.

    Thread-Starter yychen0925

    (@yychen0925)

    Hallo zusammen,

    danke euch für die Antworten.

    Das mit dem „NinjaFirewall“ werde ich mir mal genauer anschauen.

    Wie ändere ich diese Salts Einträge? das habe ich nicht richtig verstanden?

    Das PW der Datenbank werde ich auch gleich abändern.

    Liebe Grüße
    Tania

    Pascal

    (@kitepascal)

    Wie ändere ich diese Salts Einträge? das habe ich nicht richtig verstanden?

    Einfach den 8-Zeiligen Abschnitt, der sich über obigen Link präsentiert/zufällig generiert, an entsprechende Stelle in die/der wp-config.php kopieren/ersetzen.

    Moderator Bego Mario Garde

    (@pixolin)

    Auf der Webseite https://api.wordpress.org/secret-key/1.1/salt/ werden laufend zufallsgeneriert neue Schlüssel erstellt. Die kopierst du einmal und ersetzt damit die Schlüssel, die in der Konfigurationsdatei wp-config.php vorhanden sind.


    Nachtrag: ganz übersehen, dass Pascal den Link schon geteilt hatte.

    Thread-Starter yychen0925

    (@yychen0925)

    Hallo zusammen,

    danke euch 😉

    Liebe Grüße
    Tania

    Moderator Hans-Gerd Gerhards

    (@hage)

    Hallo,
    kannst du das Thema dann bitte als gelöst markieren, wenn das Problem damit für dich behoben ist:
    Gelöst
    Die Option findest du rechts in der Sidebar. Danke.
    Viele Grüße
    Hans-Gerd

    Thread-Starter yychen0925

    (@yychen0925)

    Klar doch.
    Ich sehe bei mir nur die Chebox, sollte somit hoffentlich passen.

    Moderator Hans-Gerd Gerhards

    (@hage)

    aber sicher – alles gut 👍

Ansicht von 13 Antworten - 1 bis 13 (von insgesamt 13)
  • Das Thema „Beiträge“ ist für neue Antworten geschlossen.