Falsches New user account
-
Hallo, ich habe vermehrt New user accounts auf meiner Seite die von dritten erstellt werden. Ich habe mein Passwort bereits verstärkt und auch nicht auf dem Endgerät gespeicht.
Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]
-
Hallo,
welche Rechte haben diese neuen User Accounts?
Es könnte sein, dass die Website eine Sicherheitslücke enthält. Beim Test auf sucuri sitecheck wurde keine Malware entdeckt. Das ist aber nur ein erster grundsätzlicher Check.Prüfe bitte auch, ob Theme, Plugins und WordPress aktuell sind.
Du findest unter Werkzeuge > Websitezustand > Info einen Bericht zur Website. Warte bitte einen Moment bis die Ladeanzeige ganz oben abgeschlossen ist und kopiere dann per Button den Website-Bericht in deine Zwischenablage. Über den Button „Bericht in die Zwischenablage kopieren“ kannst du den Bericht unverändert (bitte mit den Akzentzeichen am Anfang und Ende) einfügen und anschließend hier posten. Evtl. ergeben sich dann weitere Anhaltspunkte, ob und wo das Problem liegt.
Viele Grüße
Hans-GerdHallo Hans-Gerd,
vielen Dank für deine schnelle Anwort.
Die falschen New User Account sind Abonnent und haben daher wenig Rechte, wenn ich das richtig sehe.
Ich füge hier den Bericht aus Werkzeuge ein, vielleicht kannst du Auffälligkeiten erkennen:
` wp-core version: 6.2.2
site_language: de_DE
user_language: de_DE
timezone: +00:00
permalink: /%postname%
https_status: true
multisite: false
user_registration: 0
blog_public: 1
default_comment_status: open
environment_type: production
user_count: 3
dotorg_communication: true wp-paths-sizes wordpress_path: /homepages/36/d835014444/htdocs/clickandbuilds/LiferideCoachingundMediation
wordpress_size: 55,89 MB (58600847 bytes)
uploads_path: /homepages/36/d835014444/htdocs/clickandbuilds/LiferideCoachingundMediation/wp-content/uploads
uploads_size: 8,80 MB (9226843 bytes)
themes_path: /homepages/36/d835014444/htdocs/clickandbuilds/LiferideCoachingundMediation/wp-content/themes
themes_size: 21,60 MB (22649864 bytes)
plugins_path: /homepages/36/d835014444/htdocs/clickandbuilds/LiferideCoachingundMediation/wp-content/plugins
plugins_size: 107,12 MB (112322108 bytes)
database_size: 4,59 MB (4816896 bytes)
total_size: 198,00 MB (207616558 bytes) wp-active-theme name: Twenty Seventeen (twentyseventeen)
version: 3.1 (latest version: 3.2)
author: Das WordPress-Team
author_website: https://de.wordpress.org/
parent_theme: none
theme_features: core-block-patterns, widgets-block-editor, automatic-feed-links, title-tag, custom-line-height, post-thumbnails, menus, html5, post-formats, custom-logo, customize-selective-refresh-widgets, editor-style, editor-styles, wp-block-styles, responsive-embeds, starter-content, custom-header, widgets
theme_path: /homepages/36/d835014444/htdocs/clickandbuilds/LiferideCoachingundMediation/wp-content/themes/twentyseventeen
auto_update: Deaktiviert wp-themes-inactive (4) BeOnePage: version: 1.4.4, author: BeTheme, Automatische Aktualisierungen deaktiviert
Twenty Twenty-One: version: 1.0, author: Das WordPress-Team (latest version: 1.8), Automatische Aktualisierungen deaktiviert
Twenty Twenty-Three: version: 1.0, author: Das WordPress-Team (latest version: 1.1), Automatische Aktualisierungen deaktiviert
Twenty Twenty-Two: version: 1.3, author: Das WordPress-Team (latest version: 1.4), Automatische Aktualisierungen deaktiviert wp-mu-plugins (1) 1&1 Product Subdomain: version: 1.1.0, author: 1&1 wp-plugins-active (16) a3 Lazy Load: version: 2.7.0, author: a3rev Software, Automatische Aktualisierungen deaktiviert
Advanced Editor Tools: version: 5.9.0, author: Automattic, Automatische Aktualisierungen aktiviert
Akismet Anti-Spam: Spam Protection: version: 5.2, author: Automattic - Anti Spam Team, Automatische Aktualisierungen aktiviert
Alfred, the Assistant: version: 5.5.1, author: 1&1 IONOS, Automatische Aktualisierungen deaktiviert
Antispam Bee: version: 2.11.3, author: pluginkollektiv, Automatische Aktualisierungen aktiviert
Broken Link Checker: version: 2.2.0, author: WPMU DEV, Automatische Aktualisierungen aktiviert
BSK PDF Manager: version: 3.4.1, author: BannerSky.com, Automatische Aktualisierungen aktiviert
Contact Form 7: version: 5.7.7, author: Takayuki Miyoshi, Automatische Aktualisierungen aktiviert
Limit Login Attempts Reloaded: version: 2.25.20, author: Limit Login Attempts Reloaded, Automatische Aktualisierungen aktiviert
NextGEN Gallery: version: 3.37, author: Imagely, Automatische Aktualisierungen aktiviert
Regenerate Thumbnails Advanced: version: 2.4.1, author: ShortPixel, Automatische Aktualisierungen aktiviert
Statify: version: 1.8.4, author: pluginkollektiv, Automatische Aktualisierungen aktiviert
TablePress: version: 2.1.5, author: Tobias Bäthge, Automatische Aktualisierungen aktiviert
The Events Calendar: version: 6.1.3, author: The Events Calendar, Automatische Aktualisierungen aktiviert
Ultimate Member: version: 2.6.8, author: Ultimate Member, Automatische Aktualisierungen aktiviert
WPForms Lite: version: 1.8.2.3, author: WPForms, Automatische Aktualisierungen deaktiviert wp-media image_editor: WP_Image_Editor_GD
imagick_module_version: Nicht verfügbar
imagemagick_version: Nicht verfügbar
imagick_version: Nicht verfügbar
file_uploads: File uploads is turned off
post_max_size: 67108864
upload_max_filesize: 67108864
max_effective_size: 64 MB
max_file_uploads: 20
gd_version: 2.2.5
gd_formats: GIF, JPEG, PNG, WebP, BMP, XPM
ghostscript_version: 9.27 the-events-calendar wp-server server_architecture: Linux 4.4.302-icpu-092 x86_64
httpd_software: Apache
php_version: 7.4.33 64bit
php_sapi: cgi-fcgi
max_input_variables: 1000
time_limit: 30
memory_limit: 268435456
max_input_time: -1
upload_max_filesize: 67108864
php_post_max_size: 67108864
curl_version: 7.64.0 OpenSSL/1.1.1n
suhosin: false
imagick_availability: false
pretty_permalinks: true
htaccess_extra_rules: true wp-database extension: mysqli
server_version: 5.7.41-log
client_version: mysqlnd 7.4.33
max_allowed_packet: 67108864
max_connections: 3000 wp-constants WP_HOME: undefined
WP_SITEURL: undefined
WP_CONTENT_DIR: /homepages/36/d835014444/htdocs/clickandbuilds/LiferideCoachingundMediation/wp-content
WP_PLUGIN_DIR: /homepages/36/d835014444/htdocs/clickandbuilds/LiferideCoachingundMediation/wp-content/plugins
WP_MEMORY_LIMIT: 40M
WP_MAX_MEMORY_LIMIT: 256M
WP_DEBUG: false
WP_DEBUG_DISPLAY: true
WP_DEBUG_LOG: false
SCRIPT_DEBUG: false
WP_CACHE: false
CONCATENATE_SCRIPTS: undefined
COMPRESS_SCRIPTS: undefined
COMPRESS_CSS: undefined
WP_ENVIRONMENT_TYPE: Nicht definiert
DB_CHARSET: utf8
DB_COLLATE: undefined wp-filesystem wordpress: writable
wp-content: writable
uploads: writable
plugins: writable
themes: writable
mu-plugins: writable wpforms version: 1.8.2.3
lite: Jul 11, 2020 @ 6:56am
upload_dir: Beschreibbar
total_forms: undefined
total_submissions: undefinedIch bei Ionos mit dieser Seite und habe dort auch einen Scan+repair gebucht. Es gab keine Fehlermeldungen.
Ich freue mich auf eine Antwort und sage schon mal Danke
Bernhard
Da lt. Bericht in den Einstellungen > Allgemein > Jeder kann sich registrieren kein Haken gesetzt ist, kommen die unerwünschten User anderswo rein.
Du hast aber ein Plugin installiert, welches Benutzer, Mitglieder managt und jenes an sich tolle Plugin hatte kürzlich (bis V. 2.6.6) massive Probleme.
Du hast aber eh eine neuere Version, es sollte also wieder alles oke sein.Doch die User können über die Anmeldeseite dieses Plugins gekommen sein, kenne ja dein Setting nicht. Aber schau dir mal alle Einstellungen des Plugins „Ultimate Member“ nochmal genau an, vllt. ist da wo eine Tür offen.
Theoretisch braucht man aber auch kein Ultimate Member, wenn man nicht vorhat, viele Leute in die eigene Site einzuladen.Hallo kurapika,
jep, in ultimativ member war die Seite für alle zum Anmelden offen. Das habe ich nun auf nur angemeldete, eingeschränkt. Und die user gelockt.
Wenn das auch nichts bringt werde ich das plugin deaktivieren, denn du hast recht, eige.tluch brauch ich das gar nicht momentan.
Danke für die tipps
Hg bernhard
So ein Plugin braucht man eigentlich nur zum Verwalten vieler User. Es ermöglicht etwa schönere Register-Seiten, Anmeldung, Selbstverwaltung des Profils und eben die bequemere Verwaltung durch den Admin; uvam.
Schätze mal > 90% aller Foristen hier fahren mit „user_count: 1“, haben und wollen keine weiteren Leute in der Site. Für was also so ein Plugin?
Lösche es am besten komplett, denn auch inaktive Plugins lassen ihre erreichbaren Scripte ja am Server – was selten, aber doch seltsame Ereignisse auslösen kann.die user gelockt.
eher geblockt. Die würde ich auch löschen.
Ich betreue eine Menge Sites, Betreiber usw. und bin oft wo als Admin, dazu sind die Betreiber in untergeordneten Rollen und deren Mitarbeiter usw.
Dennoch: WP Bordmittel reichen meistens. (Leider nicht immer, aber das ist eine andere Story)Danke, der New user spam ist weg.
super – freut uns. Danke für die Rückmeldung und “Gelöst”-Markieren. 👍
Das Thema „Falsches New user account“ ist für neue Antworten geschlossen.