• Gelöst Zwerg-im-Bikini

    (@zwerg-im-bikini)


    Ich bekam gerade eine E-Mail, dass sich auf meinem Blog ein neuer Administrator registriert hat. Verständlicherweise war ich ziemlich erschrocken – denn ich habe die Registrierung sogar für normale User deaktiviert. Wie ist das möglich?

    Da ich es sofort bemerkt habe, habe ich den Account direkt löschen können. Vor dessen E-Mail Adresse trollherten@mail.com wird im Netz schon gewarnt (seit heute). Dann bin ich Checklisten für die Sicherheit durchgegangen, die hier im Forum empfohlen wurden. Allerdings kann ich bisher keine Sicherheitslücke finden. Meine WordPress Version war auf dem aktuellen Stand, ich habe ein sicheres Passwort verwendet (wurde natürlich trotzdem direkt geändert), die Plugins habe ich direkt von wordpress.org heruntergeladen und mein PC sollte eigentlich auch geschützt sein. Ich habe über FTP kontrolliert, ob in letzter Zeit Dateien verändert wurden, z.B. beim Theme – aber auch das war nicht der Fall. Jetzt bin ich ratlos, und möchte natürlich nicht, dass es noch mal passiert. Wo kann die Lücke noch sein?

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 15 Antworten – 1 bis 15 (von insgesamt 16)
  • @zwerg-im-bikini vielleicht hast Du ein „veraltetes“ Plugin? Eines, das vielleicht aussieht, als sei es auf dem aktuellen Stand, das aber seit langer Zeit nicht mehr aktualisiert wurde?
    Vielleicht auch das Theme? Ansonsten ist es natürlich generell schwer, dazu etwas herauszufinden.
    So was macht natürlich Angst!!! Ich drücke die Daumen, dass es damit auch erledigt ist.
    Vielleicht hat ja noch jemand anderes eine Idee!

    Thread-Starter Zwerg-im-Bikini

    (@zwerg-im-bikini)

    Danke schon mal für die Antwort. 🙂

    Ich werde die Plugins mal durchgehen und die entfernen, die ich nicht unbedingt brauche und die lange nicht aktualisiert wurden. Aber ein mulmiges Gefühl bleibt natürlich, wenn man nicht genau weiß, wo das Problem lag.

    Das Theme hatte ich eigentlich ausgeschlossen, weil ich Twentytwelve direkt von WordPress benutze (das wird ja noch aktualisiert, wenn ich mich nicht irre), mit einem eigenen Child Theme. In beiden Ordnern wurden allerdings keine Dateien verändert, und ich dachte bisher, dass man einem Hack des Themes daran erkennen müsste.

    Hallo,

    selbiges geschah auch bei mir gegen 15 Uhr und gegen 16 Uhr erneut. Selbe Ausgangssituation, selbe Konstellation, selber Benutzer, selbe Email-Adresse.

    Habe die IP nun mal gesperrt, die beiden Accounts gelöscht und werde mal sehen, ob ich die Schwachstelle identifizieren kann.

    Grüße,
    Ralle

    hello
    same problem for me…
    what is the IP of the spammer ?
    COuld you list your plugins ? to compare with our own list ?
    best regards

    The one „he“ used at my page was 109.234.37.214.

    Here’s my list of used plugins:

    AJAX Thumbnail Rebuild
    Antispam Bee
    Cookie Notice
    NextGEN Gallery
    Open Graph for Facebook, Google+ and Twitter Card Tags
    Redirection
    Slider Revolution
    Wordfence Security
    WP GDPR Compliance
    WP Statistics
    WPBakery Visual Composer
    Yoast SEO Premium
    Yoast SEO: Local
    Yoast SEO: News
    Yoast SEO: Video

    Kind regards,
    Ralle

    Thread-Starter Zwerg-im-Bikini

    (@zwerg-im-bikini)

    My plugin list:

    All in One SEO Pack
    Anti-spam
    Column Shortcodes
    Emoji Settings
    FancyBox for WordPress
    Related Posts
    Search & Replace
    Site Offline or Coming Soon
    WP GDPR Compliance

    Noch etwas, was vielleicht wichtig ist: Ich habe bisher niemanden geblockt, aber trotzdem gab es in meinem Fall keinen zweiten Versuch. Das kann bloß Zufall sein, aber vielleicht liegt es daran, dass ich das Passwort meines Admin-Accounts sofort geändert habe?

    Bei mir heute das gleiche, und zwar zweimal.
    Laut Aktivitätsübersicht wurde jedes Mal zunächst die Registrierung erlaubt und dann erst ein neuer Admin eingerichtet (s.u.).

    Wie kann ich das abschalten? Registrierung als neuer Benutzer war noch nie erlaubt, Standardrolle stand schon immer auf Abonnent.

    Protokoll (GK bin ich):

    18:47
    GK
    Administrator
    t2trollherten (trollherten@mail.com)
    User deleted

    18:47
    GK
    Administrator
    t3trollherten (t3trollherten@bk.ru)
    User deleted

    18:46
    GK
    Administrator
    GK successfully logged in
    Login succeeded

    17:23
    New user default role was changed from „Administrator“ to „Subscriber“
    Setting changed

    17:23
    Membership was changed to prohibit anyone from registering
    Setting changed

    17:23
    t3trollherten
    Administrator
    t3trollherten (t3trollherten@bk.ru)
    User registered

    17:23
    New user default role was changed from „Subscriber“ to „Administrator“
    Setting changed

    15:38
    Membership was changed to allow anyone to register
    Setting changed

    14:40
    New user default role was changed from „Administrator“ to „Subscriber“
    Setting changed

    14:40
    Membership was changed to prohibit anyone from registering
    Setting changed

    14:30
    t2trollherten
    Administrator
    t2trollherten (trollherten@mail.com)
    User registered

    14:30
    New user default role was changed from „Subscriber“ to „Administrator“
    Setting changed

    14:30
    Membership was changed to allow anyone to register

    thanks for your sharing
    here a list of plugins installed on 3 websites touched for me

    Composium – Visual Composer Extensions Addon
    Cookie Notice
    Duplicate Post
    Duplicator
    Gravity Forms
    Gravity Forms Multilingual
    iThemes Security
    Slider Revolution
    WP GDPR Compliance
    WP Maintenance Mode
    WPBakery Visual Composer (5.5.5)
    Yoast SEO

    may be we should look on GRPD plugin ? we all use it

    • Diese Antwort wurde geändert vor 5 Jahren, 11 Monaten von loule13.

    Ok, I just got to know it’s a known issue in WP GDPR Compliance Plugin. SQL-Injection.

    We should kill or update it. Soon.

    https://www.wpgdprc.com/wp-gdpr-compliance-v1-4-3-security-release/

    Hi Leutz,

    bei mir heute das gleiche wie bei humpfedumpfe:

    Neue Benutzerregistrierung auf deiner Website XXXXXXXXXX:

    Benutzername: t2trollherten

    E-Mail: trollherten@mail.com

    und
    Neue Benutzerregistrierung auf deiner Website (gleiche wie oben, also 2 neue Administrator-Benutzer):

    Benutzername: t3trollherten

    E-Mail: t3trollherten@bk.ru

    habe beide Benutzer natürlich sofort gelöscht und ein neues, längeres Passwort vergeben.

    aktive Plugins:
    Antispam Bee
    Contact Form 7
    Envato Market
    Flamingo
    Germanix Translate
    Germanix URL
    Google XML Sitemaps
    GT3 Page Builder (For Johnblack Theme Only)
    GT3 Photo & Video Gallery – Lite
    Instagram Feed
    Limit Login Attempts
    Really Simple CAPTCHA
    Slider Revolution
    UpdraftPlus – Backup/Restore
    WP GDPR Compliance
    WP-Optimize
    Yoast SEO

    macht es Sinn, das irgendwo zu melden?

    Wie eben schon gedenglischt: ist wohl schon seit vorgestern bekannt und mit dem aktuellen Update von WP GDPR Compliance erledigt.

    https://www.wpgdprc.com/wp-gdpr-compliance-v1-4-3-security-release/

    • Diese Antwort wurde geändert vor 5 Jahren, 11 Monaten von humpfedumpfe.

    @humpfedumpfe: Danke für die Arbeit!
    Hatte beim Login schon alle Plugins (12) aktualisiert. Darunter auch WP GDPR Compliance.

    Geil, wenn die Gemeinde sich selbst kümmert. Wie in alten Zeiten…
    Danke Leutz!!!

    hallo zusammen,

    i have exactly the same problem, the same user registered on my site, although this option is deactivated.

    is it really possible that this happened through a plugin?
    this are my plugins.

    Antispam Bee
    BackUpWordPress
    Better Search Replace
    Classic Editor
    CPT Bootstrap Carousel
    EU Cookie Law
    Like Button Rating ♥ LikeBtn
    Remove Comment IPs
    Remove IP
    Shariff Wrapper
    WP GDPR Compliance

    the only plugin that we all have in common is the WP GDRP Compliance, which got updated yesterday.
    I updated it 10 Minutes ago.

    i hope someone can find something, as i am not a web master 🙂 and i just want to safety run my site.

    thanks

    EDIT
    oh cool,problem solved.

    • Diese Antwort wurde geändert vor 5 Jahren, 11 Monaten von sam83.
Ansicht von 15 Antworten – 1 bis 15 (von insgesamt 16)
  • Das Thema „Fremder Administrator-Account registriert“ ist für neue Antworten geschlossen.