Support » Allgemeine Fragen » Benutzer hat sich selbst angelegt ohne mein Wissen

  • Gelöst casiopaia

    (@casiopaia)


    Hallo Zusammen,

    ich habe gerade festgestellt, dass sich Leute auf meiner Homepage als Benutzer angelegt haben ohne dass ich es gemerkt habe. Wie kann das passieren? Wie kann ich mich davor schützen?

    Vielen Dank für Eure Hilfe,
    Silvia

    • Dieses Thema wurde geändert vor 1 Monat, 3 Wochen von casiopaia.

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 15 Antworten - 1 bis 15 (von insgesamt 26)
  • Hallo,
    schau mal bitte unter Einstellungen > Allgemein und da bei „Mitgliedschaft“. Hast du da „Jeder kann sich registrieren.“ eingeschaltet?
    In dem Fall kann man sich mit der Standardrolle eines neuen Benutzers (in der Regel Abonnent – steht unter der Mitgliedschaft) registrieren.
    Viele Grüße
    Hans-Gerd

    Zuerst einmal alle Benutzer löschen.
    Dann unter Einstellungen/Allgemein prüfen, ob bei Mitgliedschaft „Jeder kann sich registrieren“ aktiv ist
    Prüfen, ob alle Plugins auf neuestem Stand sind

    Edit: viel zu langsam, man sollte nicht gleichzeitig Fußball gucken 😀 😀

    • Diese Antwort wurde geändert vor 1 Monat, 3 Wochen von bscu.

    @bscu: Aber der Hinweis auf „alle Benutzer löschen“ (also alle „fremden“ Benutzer) ist sicher hilfreich – der fehlte bei meiner Antwort. 👍

    • Diese Antwort wurde geändert vor 1 Monat, 3 Wochen von Hans-Gerd Gerhards. Grund: Ergänzung
    Thread-Ersteller casiopaia

    (@casiopaia)

    hello ihr beiden, vielen Dank, das wars!:-) Einstellung geändert! 🙂

    danke für die Info – freut mich 🙂

    Das ist einem Bekannten auch mal passiert: 2 Admins haben sich selbst angelegt!
    Jedenfalls habe ich ihm gleich alles komplett neu aufgesetzt. Wer weiß, was die hinterlassen haben?

    @pezi
    dieser Fall war aber anders gelagert: Hier war eingestellt, dass sich Benutzer selbst für diese Webseite registrieren konnten, d. h. es wurden – so weit ich das verstanden habe – keine Benutzer mit Admim-Rechten „von außen“ angelegt.
    In der Regel erhält in dem Fall ein neuer registrierter Benutzer die Rolle „Abonnent“ – es sei denn, es wäre etwas anderes eingestellt worden.
    Putzig wird es natürlich, wenn neue Benutzer die Rolle „Administrator“ erhalten. Da kann man direkt auch den Hausschlüssel auf die Fußmatte vor die Haustür legen 😉

    Achso

    Bei dem wars anders, Registrierung untersagt, dennoch haben sich 2 Admins eingenistet. Also Alarm und alles weggeputzt, neu installiert.
    Content Ordner, naja, den haben wir so weit es geht durchforstet, mit älteren Versionen verglichen, tw. mit sauberen Dateien vom Entwicklerrechner ersetzt, … usw.

    Das warum und wie so etwas geht wäre schon interessant, doch bei mir steht immer Schadensbegrenzung an erster Stelle, dann wieder online gehen, dann könnte man forschen, warum. Nur wann, gell …

    „Forensik“ ist aufwändig, bringt aber meistens wenig.
    Backup wiederherstellen, alles aktualisieren, Zugangsdaten für WordPress, MySQL-Datenbank, FTP und Kundenmenü des Webhoster austauschen. Ohne Backup ist es deutlich mühsamer und hat manchmal (z.B. bei Defacement) auch keine Chancen auf Erfolg.

    WIE? Wie kommt man auf die Idee, das einzustellen?
    Man muss das extra auswählen in wp-admin/options-general.php , dass neu registrierte User die Adminrolle bekommen.

    Das wurde ja extra eingestellt! (Und sollte eigentlich als Option gelöscht werden – wer will das? Dass auf der eigenen Seite sich Menschen als Admins registrieren können oO. Unsinnige Auswahlmöglichkeit!)

    Wie kommt man auf die Idee, das einzustellen?

    Wir erleben hier so kuriose Dinge, dass so eine Idee leider gar nicht so abwegig ist. ¯\_(ツ)_/¯

    … wer will das? […] Unsinnige Auswahlmöglichkeit!

    Vielleicht in Intranets? Aber dann sollte das tatsächlich nur mit einer Einstellung in der wp-config.php aktivierbar sein. Die Chance ist größer, dass da jemand aus Unwissenheit fehlerhafte Einstellungen vornimmt.

    Selbst in Intranets will ich nicht, dass sich ADMINS registrieren können. Es gibt da immer noch eine Schicht über normalen Benutzern, die auch administrieren.
    Das is unsinnig, und gehört aus dem Core.

    Gibt’s bisher wohl noch kein Ticket für.

    Und wird auch niemanden interessieren.
    Am Core selbst passiert im Moment wenig – die aufregenden PHP-Zeiten sind vorbei.
    Fokus liegt auf Gutenberg (und WooCommerce).

    @souri

    WIE? Wie kommt man auf die Idee, das einzustellen?
    Man muss das extra auswählen in wp-admin/options-general.php , dass neu registrierte User die Adminrolle bekommen.

    Auch hier war die Registrierung aus und die Standardrolle natürlich nicht verändert.
    Hier ist jemand (vmtl. aufgrund einer veralteten Struktur) eingebrochen.

Ansicht von 15 Antworten - 1 bis 15 (von insgesamt 26)