Support » Allgemeine Fragen » Benutzername ändern – wie

  • Gelöst schnuddel

    (@schnuddel)


    Ich möchte im Dashboard / Anmeldeformular meinen Benutzernamen ändern. WordPress sagt, das ginge nicht.

    Hintergrund: vor einigen Wochen bekam ich Nachricht, dass meine site von einer russischen org. gehackt worden wäre. Bisher ohne irgendwelche Wirkungen. Trotzdem möchte ich meine Zugangsdaten jetzt ändern – sicher ist sicher.

    Danke schon mal

    Stef

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 5 Antworten - 1 bis 5 (von insgesamt 5)
  • Hallo,
    Infos zu einer gehackten Website findest du in unserer FAQ: Seite gehacked, was tun?.

    In dem folgenden englischsprachigen Beitrag wird umfassend erläutert, was zu tun ist und welche Dinge du erledigen solltest.

    Bei einem ersten Check der Website wurden mir keine Auffälligkeiten gemeldet.

    Bisher ohne irgendwelche Wirkungen.

    Wenn du von wem auch immer die Nachricht erhalten hast und die Website ist tatsächlich gehackt worden, dann kann es durchaus sein, dass eine Backdoor existiert, aber noch nicht verwendet wurde. Insofern bringt auch die Änderung der Zugangsdaten nur etwas, wenn du sicher sein kannst, dass die Website „sauber“ ist.

    Ansonsten meldest du dich als Administrator mit den Einstellungen an, die du bereits kennst und löschen möchtest. Dann erstellst du einen neuen Benutzeraccount als Administrator. Danach meldest du dich ab und mit den Anmeldedaten für den „neuen“ Administrator wieder an. Anschließend kannst du den „alten“ Administrator löschen. Dabei überträgst du die Inhalte des „alten“ Administrator auf den „neuen“ Administrator.

    Viele Grüße
    Hans-Gerd

    Wenn die Website tatsächlich gehackt wurde, ist der Benutzername das geringste Problem. Die Anmeldung erfolgt immer mit einer Kombination von Benutzername und Passwort, wobei der Benutzername ohnehin leicht herauszufinden ist. Ändere ich ein bekannt gewordenes Passwort, klappt auch die bisherige Kombination von Username und Passwort nicht mehr.

    Bei einer WordPress-Website hast du mit diversen Zugangsdaten zu tun: Kundenmenü des Webhosters, SSH, FTP, E-Mail, MySQL-Datenbank und WordPress haben jeweils eigene (und hoffentlich unterschiedliche) Kombinationen aus Username und Passwort, die du nach einem Angriff austauschen solltest. Eine Absicherung mit 2-Faktor-Authentifizierung (z.B. mit dem Plugin Two Factor) schützt dich zusätzlich davor, dass dir bei der Eingabe des Passworts jemand über die Schulter schaut.

    Eine Website erfolgreich anzugreifen ist mühsam, weil erst einmal Daten gesammelt und mögliche Sicherheitslücken geprüft werden müssen. Ein Angreifer wird deshalb als eine der ersten Maßnahmen nach einem erfolgreichen Angriff eine Backdoor hinterlassen, damit er sich jederzeit wieder Zugriff verschaffen kann. Dadurch umgeht er alle Sicherheitsmechanismen und auch ein 42stelliges Passwort mit georgischen Sonderzeichen hilft dir wenig. Eine Malware-Skript für eine Backdoor kann in einer jpg-Datei liegen oder hat so einen unverfänglichen Namen wie default.php oder settings.php. Gerne werden solche Skripte auch so decodiert, dass sie für den normalen Anwender nicht lesbar sind. Es gibt aber (aufwendige) Möglichkeiten, diese Malware aufzuspüren.

    Die einfachste Lösung ist, ein unkompromittiertes Backup wiederherzustellen und sofort alle Zugangsdaten zu ändern. Aufwendiger ist eine manuelle Bereinigung der Website, also …

    • die Datenbank, wp-config.php und Verzeichnis wp-content/uploads zu sichern,
    • alle verwendeten Themes und Plugins zu notieren,
    • alles auf dem Webserver zu löschen (nicht nur selektiv, weil du dann Backdoor-Skripte übersiehst),
    • WordPress, Themes und Plugins neu von wordpress.org herunter- und auf den Webserver hochzuladen (genullte Themes, also Themes, bei denen die Abfrage eines Lizenzschlüssels entfernt wurde, sollten selbstverständlich nicht genutzt werden)
    • die Datenbank-Tabelle wp_users auf unbekannte User zu prüfen und wiederherzustellen
    • das Verzeichnis wp-content/uploads sehr gründlich auf Schadbefall zu untersuchen und wiederherzustellen. (php- und html-Dateien haben in diesem Verzeichnis nichts verloren. Mediendateien könnten tatsächlich ausführbaren Schadcode enthalten.)
    • die wp-config.php durchzusehen und wiederherzustellen,
    • alle Zugangsdaten auszutauschen.

    Da die Schritte nicht unbedingt trivial sind und gerne etwas übersehen wird, rate ich Einsteigern eher dazu, einen Dienstleister zu beauftragen, der sich mit der Reinigung infizierter Websites bereits beschäftigt hat.

    Die Aussage „meine site [wurde] von einer russischen org. gehackt“ ist (mit allem Respekt) Unfug. Angreifer tarnen sich so, dass nicht nachvollziehbar ist, ob der Angriff aus Minks, Manhattan oder Mechernich erfolgt. Selbst kyrillische Buchstaben in einer bei einem Defacement geänderten Webseite sagen nicht mehr aus, als dass jemand kyrillische Buchstaben verwenden kann. Forensik ist aufwendig und bringt dir als Website-Betreiber wenig.

    Auch die Aussage „Bisher ohne irgendwelche Wirkungen.“ sehe ich kritisch. Wenn eine Backdoor verwendet wird, ist dein Webserver eben so lange „ohne irgendwelche Wirkungen“, bis der Angreifer ein Bot-Netz benötigt oder eine Phishing-Seite aufsetzen möchte.

    Es reicht eigentlich, wenn du das Passwort neu setzt.

    Was war denn der Mail Inhalt? Das ist zu 99,9% Fake/Spam. Wenn eine Seite erfolgreich gehackt wurde, wird der Betreiber darüber du gut wie nie vom Angreifer informiert – denn sonst könnte ja direkt was dagegen unternommen werden.

    Thread-Starter schnuddel

    (@schnuddel)

    Danke für eure Antworten. Mir fiel eben auf, dass in meiner Adresse statt richtigerweise „https“ „http“ angegeben ist. Hat das irgendwas zu sagen? Die site war ganz neu aufgesetzt und daher ist nicht sicher, ob das erste (und letzte) Backup nicht kompromittiert ist. Letzten Endes wird es wohl darauf hinauslaufen, dass ich alles neu aufsetzen sollte.. Nun gut …

     

     

    Your Site Has Been Hacked
    
    PLEASE FORWARD THIS EMAIL TO SOMEONE IN YOUR COMPANY WHO IS ALLOWED TO MAKE IMPORTANT DECISIONS!
    
    We have hacked your website http://www.ste***kel.de/ and extracted your databases.
    
    How did this happen?
    
    Our team has found a vulnerability within your site that we were able to exploit. After finding the vulnerability we were able to get your database credentials and extract your entire database and move the information to an offshore server.
    
    What does this mean?
    
    We will systematically go through a series of steps of totally damaging your reputation. First your database will be leaked or sold to the highest bidder which they will use with whatever their intentions are. Next if there are e-mails found they will be e-mailed that their information has been sold or leaked and your http://www.stefan-winkel.de was at fault thusly damaging your reputation and having angry customers/associates with whatever angry customers/associates do. Lastly any links that you have indexed in the search engines will be de-indexed based off of blackhat techniques that we used in the past to de-index our targets.
    
    How do I stop this?
    
    We are willing to refrain from destroying your site’s reputation for a small fee. The current fee is $3000 in bitcoins (0.14 BTC).
    
    ....
    Moderationshinweis: deine Antwort wurde von der Forensoftware zurückgehalten. Ich musste die Antwort erst freischalten. Einige Passagen der zitierten Mail habe ich gelöscht, weil sie nichts zur Sache tun.

    Es ist immer schön, wenn man sich die Zeit für eine ausführliche Antwort nimmt und darauf dann mit keiner Silbe eingegangen wird. War etwas in der Antwort unklar?

    Wie auch immer … Viel Erfolg beim „neu aufsetzen“.

    Da auch das eine „Lösung“ ist, markiere ich den Thread als „gelöst“.

Ansicht von 5 Antworten - 1 bis 5 (von insgesamt 5)