Support » Plugins » Fehlermeldungen von Wordfence Security

  • Gelöst Thobie

    (@thobie)


    Moin, Moin,

    ich habe gestern von dem Plugin Wordfence Security für eine neu aufgesetzte Site folgende Fehlermeldung erhalten:

    „This email was sent from your website „ND Trockenbau“ by the Wordfence plugin.

    Wordfence found the following new issues on „ND Trockenbau“.

    Alert generated at Saturday 9th of October 2021 at 10:20:48 AM

    See the details of these scan results on your site at: https://www.nd-trockenbau.de/wp-admin/admin.php?page=WordfenceScan

    High Severity Problems:

    * Unknown file in WordPress core: wp-admin/._.htaccess.txt

    * Unknown file in WordPress core: wp-admin/._.htpasswd.txt

    * Unknown file in WordPress core: wp-admin/._about.php

    * Unknown file in WordPress core: wp-admin/._admin-ajax.php

    * Unknown file in WordPress core: wp-admin/._admin-footer.php

    * Unknown file in WordPress core: wp-admin/._admin-functions.php

    * Unknown file in WordPress core: wp-admin/._admin-header.php

    * Unknown file in WordPress core: wp-admin/._admin-post.php

    * Unknown file in WordPress core: wp-admin/._admin.php

    * Unknown file in WordPress core: wp-admin/._async-upload.php“

    So geht das noch mit sicherlich bis zu 100 Dateien weiter.

    Was soll mir diese Fehlermeldung sage?

    Das Frontend der Site zeigt keine Probleme. Und das Backend auch keine. Das Backend bzw. der Webspace ist 4-fach gesichert: htaccess/Login/reCaptcha/2FA

    Grüße aus Hamburg

    Thobie

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 13 Antworten - 1 bis 13 (von insgesamt 13)
  • Moderator Hans-Gerd Gerhards

    (@hage)

    Hallo @thobie
    nun ja: z. B. in dem Ordner ...\wordpress\wp-admin sollte nicht die Datei ._admin-ajax.php liegen, sondern admin-ajax.php, also ohne ._.
    Das solltest du aber per FTP prüfen können, wobei ich mich wundern würde, wenn z. B. die genannte Datei admin-ajax.php nicht in dem Ordner liegt.
    Da ich aber Wordfence nicht nutze, sondern NinjaFirewall, kann ich wenig dazu sagen, was sich Wordfence dazu gedacht hat. Übrigens gibt es einen absolut empfehlenswerten Vortrag von Marc Nilius zu NinjaFirewall auf wordpress.tv.
    Den Vortrag hat Marc vor ein paar Wochen auf dem Online-Meetup in Dresden gehalten.
    Vielleicht wäre daher NinjaFirewall eine Alternative für dich.
    Viele Grüße
    Hans-Gerd

    Thread-Ersteller Thobie

    (@thobie)

    Moin, Moin, Hans-Gerd,

    ich habe das gerade geprüft.

    In dem Ordner liegen die Dateien tatsächlich doppelt, also einmal normal, einmal mit „.-“. Wie wenn jemand den Inhalt mit diesen Sonderzeichen gespiegelt hätte.

    Woher das kommt habe ich keine Ahnung.

    Grüße aus Hamburg

    Thobie

    Thread-Ersteller Thobie

    (@thobie)

    Ich habe testweise auf dieser neu aufgesetzten Site das Plugin NinjaFirewall installiert und Wordfence Security deaktiviert.

    Frage am Rande: Hat NinjaFirewall ebenso wie Wordfence Security eine Option für 2FA, oder muss ich dazu ein separates Plugin installieren?

    Moderator Hans-Gerd Gerhards

    (@hage)

    NinjaFirewall ist wesentlich leichtgewichtiger als Wordfence. Wenn du zusätzlich das Plugin Two-Factor installierst, das von namhaften WordPress-Entwicklern erstellt wird, dann machst du da sicher nichts verkehrt.

    Thread-Ersteller Thobie

    (@thobie)

    Dann gehe ich davon aus, das ich diese merkwürdigen Dateien ._ alle einfach löschen kann?

    souri

    (@souri)

    Kopier die Dateien zuerst per FTP auf deinen PC, dann kannst du die „._“ Dateien löschen!
    Im Fall der Fälle kannst du alles wieder zurückschieben.

    Ich würd mir an deiner Stelle Gedanken machen, woher diese Dateien kommen!

    Wordfence macht das mEn nicht – ergo ist das von jemanden „veranlasst“ worden…

    Ich würde sogar noch weiter gehen als @souri:
    Sichere auf deinem Rechner den Ordner wp-content und die Dateien wp-config.php, .htaccess aus dem Stammverzeichnis der WordPress-Instanz.
    Dann lädst du die aktuelle WordPress-Version auf deinen Rechner und entpackst die Dateien.
    Dann löschst du auf dem Server die Ordner wp-admin und wp-includes aber nicht den Ordner wp-content sowie alle Dateien aus dem Stammverzeichnis. Anschließend überträgst du alle Ordner außer wp-content auf den Server von deinem Rechner per FTP. Schließlich werden noch alle Dateien aus dem Stammverzeichnis von deinem Rechner in das Stammverzeichnis auf den Server kopiert. Abschließend müssen noch die vorher gesicherten Dateien wp-config.php, .htaccess von deinem Rechner auf den Server in das Stammverzeichnis kopiert.
    Dann könnte es höchstens sein, dass noch „seltsame“ Dateien im Ordner wp-content liegen. Hier wäre in der Tat – wie bereits @souri geschrieben hat – zu prüfen, wie diese Dateien auf den Server gekommen sind.
    Wie immer bei solchen Aktionen ist eine gute Sicherung vorher absolut empfehlenswert.

    Thread-Ersteller Thobie

    (@thobie)

    „ Wordfence macht das mEn nicht – ergo ist das von jemanden „veranlasst“ worden …“

    Wie ich schon schrieb, das Backend ist vierfach gesichert. Und der Webspace ist auch (weniger oft) gesichert.

    Wie soll das jemand „veranlassen“?

    Veranlassen ist bewusst vage gehalten, als Aussage.

    Es is komisch, wenn diese Dateien dupliziert werden.
    Vl macht das ein Plugin? Ok, – aber dann eher nicht automatisch, sondern nachdem man zb eine Option ausgewählt hat.

    @thobie
    wir werden hier wohl kaum analysieren können, wie das Problem entstanden ist.
    Kannst du das Thema dann bitte als gelöst markieren:
    Gelöst
    Die Option findest du rechts in der Sidebar. Danke.

    Thread-Ersteller Thobie

    (@thobie)

    Moin, Hans-Gerd,

    so ganz gelöst war dieses Problem noch nicht.

    Ich habe festgestellt, dass in allen drei Ordnern von WordPress die vorhandenen Dateien als „._“-Dateien „geklont“ waren.

    Ich habe die Site gemäß Deinen Anleitung neu aufgesetzt. Zugang zum Frontend und Backend funktionieren wie gewohnt.

    Da ein Zugang zum Backend aufgrund des 4-fachen Schutzes eigentlich nicht möglich ist (als letzte Hürde braucht ein Hacker den 2FA-Code von meinem Smartphone), habe ich nun auch den Zugang zum Webspace per SFTP-Manager beim Hoster mit einem sehr, sehr kryptischen Passort gesichert. Das dürfe sicherlich auch niemand mehr hacken können.

    Ich verfolge das jetzt einmal die kommende Zeit weiter.

    Danke für Eure Hilfe.

    Grüße aus Hamburg

    Thobie

    Thread-Ersteller Thobie

    (@thobie)

    Moin, Moin, Hans-Gerd,

    ist es normal, dass in drei Ordnern in wp-content:

    wp-content–>nfwlog
    wp-content–>uploads–>wpcf7_uploads
    wp-content–>wflogs

    die Datei .htaccess „geklont“ liegt?

    Grüße aus Hamburg

    Thobie

    Hallo Thobie,
    sorry, das kann ich dir leider gerade nicht sagen. Evtl. stellst du die Frage im Supportforum von NinjaFirewall (ich vermute mal, dass sich die Frage darauf bezieht).
    Ich muss allerdings auch darauf hinweisen, dass immer nur eine Frage in einem Thread behandelt werden soll – siehe FAQ.
    Viele Grüße
    Hans-Gerd

Ansicht von 13 Antworten - 1 bis 13 (von insgesamt 13)