Eigentlich gehe ich davon aus, dass sich in wordpress selbst (php, js) irgendwo malware eingenistet hat und nicht in Bildern oder Beiträgen (welche ja nur Text und Verweise auf die Medien beinhalten) verstecken.
Genau darauf freut sich der Angreifer und platziert Backdoors so, dass er jederzeit wieder Zugriff auf die Website bekommt.
Angreifer können Skripte als z.B. .jpg-Datei speichern, wenn sie (ungangssprachlich ausgderückt) dem Webserver die Anweisung geben, diese Dateien ebenfalls ausführbar zu machen.*
Dass die Inhalte der Datenbank nicht so kritisch sind, habe ich geschrieben – vorausgesetzt, dort sind nicht weitere Administratoren hinzugekommen.
Und nachdem ich fast alle Plugins entfernt habe …
Angreifer platzieren auch gerne Dateien wie z.B. wp-admin/blog.php
oder wp-includes/default-settings.php
, die du als Laie kaum von den Core-Dateien unterscheiden wirst. Nur mit Löschen der Plugins entfernst du diese Dateien aber nicht.
Es ist aufwendig, eine Website erfolgreich anzugreifen. Geh davon aus, dass Angreifer deshalb immer mehrerer „Hintertürchen“ installieren, um unkompliziert wieder Zugriff zu bekommen, vor allem nachdem du den Einbruch bemerkt hast. „Ich hab jetzt schon so viel gelöscht, das wird schon reichen …“ führt erfahrungsgemäß zügig zur nächsten Datenpanne. Dank Datenschutzvorgaben bist du dann um so mehr in der Haftung.
Sonst wird wahrscheinlich nichts anderes nützen, als alles platt zu machen und wieder neu anzufangen
Es gibt nicht nur schwarz und weiß. Wie eine gehackte Website bereinigt wird, haben wir hier mehrfach beschrieben und zusätzlich hatte ich zwei Webseiten mit Anleitungen verlinkt. Die Bereinigung ist aufwendig, aber in den meisten Fällen ein besserer Weg, als von vorne anzufangen.
Eine sinnvolle Alternative ist die Wiederherstellung eines nicht kompromittierten Backups. Wenn du fahrlässigerweise selber keines erstellt hast, frag doch mal beim Support deines Webhosters nach. Manchmal kostet eine Wiederherstellung ein paar Euro, die aber in keiner Relation zum genannten Aufwand stehen, wenn du die Website selber bereinigen musst.
—
* Du findest unter Suchbegriffen wie „jpg file malware“ sehr viele Beiträge, wieso Bilddateien aus diversen Gründen Probleme bereiten können. Dieser Beitrag schien mir auf die Schnelle am besten geeignet, das Problem verständlich zu machen: https://medium.com/@igordata/php-running-jpg-as-php-or-how-to-prevent-execution-of-user-uploaded-files-6ff021897389