• Ich habe mich zwar etwas umgeschaut und recherchiert, aber mir ist noch nicht ganz klar, wie das funktionieren soll.

    Meine Webseite wurde gehackt (irgend so ein redirect-hack). Hab sie zwar wieder ohne redirect am Laufen, aber ganz sauber kommt mir das Ganze doch nicht vor. Jetzt möchte ich sie mir also backupen und dann wieder restoren bzw. export / import.

    Wenn ich jetzt einen Export (all content) mache, dann bekomme ich ein großes XML-File. In diesem XML-File sind alle Images über einen absoluten Pfad angegeben. Dieser absolute Pfad ist auch ein allen Posts so hinterlegt.

    Mir ist nicht ganz klar, wie das jetzt funktionieren soll. Mein Provider kann mir ein temporäres wordpress installieren wohin ich alles importieren kann und dann macht er den switch und das temporäre wordpress wird das neue wordpress. Wie kommen die Bilder in ins temporäre wordpress? Und werden dann die Links in den Posts beim Import verändert?

    Kann mir jemand helfen und sagen, wie ich hier genau vorgehen muss?

    Danke
    ©a-x-i

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 4 Antworten – 1 bis 4 (von insgesamt 4)
  • Jetzt möchte ich sie mir also backupen und dann wieder restoren bzw. export / import.

    Dann hast du doch wieder den gleichen Stand, was soll das bringen?

    Moderator Bego Mario Garde

    (@pixolin)

    Eine Bereinigung erfolgt sehr vereinfacht ausgderückt so, dass alle Dateien auf dem Server gelöscht und anschließend frisch heruntergeladene Dateien (WordPress-Core, Theme, Plugins) hochgeladen werden.
    Deine eigenen Uploads (vor allem Mediendateien) können ebenfalls Malware enthalten, selbst wenn es sich um vermeintliche Bild-Dateien mit den typischen Endungen .jpg, .png, .gif, … handelt. Die Dateien müssen deshalb sehr sorgfältig auf Malware-Befall geprüft werden. Außerdem musst du sicherstellen, dass sich im Verzeichnis wp-content/uploads keine weiteren Skripte befinden, die dem Angreifer als Backdoor erneuten Zugriff ermöglichen.

    Die Datenbank enthält den Inhalt deiner Seiten und Beiträge und ist nicht ganz so gefährdet. Theoretisch können sich hier aber auch Malwarescript z.B. in JavaScript befinden. Vor allem solltest du prüfen, ob ein Angreifer zusätzliche Nutzer mit administrativen Rechten angelegt hat. Dass du alle Zugangsdaten für Webhosting, MySQL-Datenbank, FTP und WordPress-Administration ändern solltest, versteht sich von selbst. Der Zugriff auf Webseiten und Server sollte nur über eine verschlüsselte Verbindung (https, ssh bzw. sftp) erfolgen.

    Im Web gibt es ausführlichere Anleitungen zur Bereinigung einer Website (z.B. How to Clean a Hacked WordPress Site using Wordfence). Der Vorgang ist recht aufwendig und wird deshalb oft Profis überlassen, die sich dann nicht so unsicher fühlen und (hoffentlich) keine Schlupflöcher übersehen.

    Viel Erfolg.

    Thread-Starter axi771

    (@axi771)

    @bscu

    Dann hast du doch wieder den gleichen Stand, was soll das bringen?

    Weil ich ja nur meine posts und meine Bilder wieder restore aber nicht wordpress ansich.

    @pixolin

    Deine eigenen Uploads (vor allem Mediendateien) können ebenfalls Malware enthalten, selbst wenn es sich um vermeintliche Bild-Dateien mit den typischen Endungen .jpg, .png, .gif, … handelt. Die Dateien müssen deshalb sehr sorgfältig auf Malware-Befall geprüft werden. Außerdem musst du sicherstellen, dass sich im Verzeichnis wp-content/uploads keine weiteren Skripte befinden, die dem Angreifer als Backdoor erneuten Zugriff ermöglichen.

    Eigentlich gehe ich davon aus, dass sich in wordpress selbst (php, js) irgendwo malware eingenistet hat und nicht in Bildern oder Beiträgen (welche ja nur Text und Verweise auf die Medien beinhalten) verstecken. Deswegen hätte ich ja alles gelöscht und wordpress komplett neu installieren lassen, so dass nur meine Beiträge und eben meine Bilder (und die Verweise dort hin) wieder hergestellt werden. Und nachdem ich fast alle Plugins entfernt habe ist der redirect-hack auch nicht mehr aufgetreten.

    Ich werde mal den wp-content/uploads ordentlich durchforsten und scannen und dann schau ich, ob da noch was zu retten ist. Sonst wird wahrscheinlich nichts anderes nützen, als alles platt zu machen und wieder neu anzufangen 🙁

    Danke für die Antworten
    ©a-x-i

    • Diese Antwort wurde geändert vor 10 Monaten von axi771.
    Moderator Bego Mario Garde

    (@pixolin)

    Eigentlich gehe ich davon aus, dass sich in wordpress selbst (php, js) irgendwo malware eingenistet hat und nicht in Bildern oder Beiträgen (welche ja nur Text und Verweise auf die Medien beinhalten) verstecken.

    Genau darauf freut sich der Angreifer und platziert Backdoors so, dass er jederzeit wieder Zugriff auf die Website bekommt.

    Angreifer können Skripte als z.B. .jpg-Datei speichern, wenn sie (ungangssprachlich ausgderückt) dem Webserver die Anweisung geben, diese Dateien ebenfalls ausführbar zu machen.*
    Dass die Inhalte der Datenbank nicht so kritisch sind, habe ich geschrieben – vorausgesetzt, dort sind nicht weitere Administratoren hinzugekommen.

    Und nachdem ich fast alle Plugins entfernt habe …

    Angreifer platzieren auch gerne Dateien wie z.B. wp-admin/blog.php oder wp-includes/default-settings.php, die du als Laie kaum von den Core-Dateien unterscheiden wirst. Nur mit Löschen der Plugins entfernst du diese Dateien aber nicht.

    Es ist aufwendig, eine Website erfolgreich anzugreifen. Geh davon aus, dass Angreifer deshalb immer mehrerer „Hintertürchen“ installieren, um unkompliziert wieder Zugriff zu bekommen, vor allem nachdem du den Einbruch bemerkt hast. „Ich hab jetzt schon so viel gelöscht, das wird schon reichen …“ führt erfahrungsgemäß zügig zur nächsten Datenpanne. Dank Datenschutzvorgaben bist du dann um so mehr in der Haftung.

    Sonst wird wahrscheinlich nichts anderes nützen, als alles platt zu machen und wieder neu anzufangen

    Es gibt nicht nur schwarz und weiß. Wie eine gehackte Website bereinigt wird, haben wir hier mehrfach beschrieben und zusätzlich hatte ich zwei Webseiten mit Anleitungen verlinkt. Die Bereinigung ist aufwendig, aber in den meisten Fällen ein besserer Weg, als von vorne anzufangen.

    Eine sinnvolle Alternative ist die Wiederherstellung eines nicht kompromittierten Backups. Wenn du fahrlässigerweise selber keines erstellt hast, frag doch mal beim Support deines Webhosters nach. Manchmal kostet eine Wiederherstellung ein paar Euro, die aber in keiner Relation zum genannten Aufwand stehen, wenn du die Website selber bereinigen musst.

    * Du findest unter Suchbegriffen wie „jpg file malware“ sehr viele Beiträge, wieso Bilddateien aus diversen Gründen Probleme bereiten können. Dieser Beitrag schien mir auf die Schnelle am besten geeignet, das Problem verständlich zu machen: https://medium.com/@igordata/php-running-jpg-as-php-or-how-to-prevent-execution-of-user-uploaded-files-6ff021897389

Ansicht von 4 Antworten – 1 bis 4 (von insgesamt 4)
  • Das Thema „export / neu aufsetzen / import“ ist für neue Antworten geschlossen.