Hm, das ist ja mal ärgerlich.
Es ist schwierig festzustellen, wodurch der Angriff kam. Dazu reicht schon, wenn du dich in einem öffentlich zugänglichen W-LAN per http://… im Backend anmeldest und jemand deine Zugangsdaten protokolliert. Unsichere Passwörter aus Passwort-Datenbanken, veraltete Software, Zugriff auf dein E-Mail-Account, Zugriff auf Kundenmenü oder FTP … Da kommen ganz viele Möglichkeiten in Betracht.
Wie du eine gehackte Website reparierst, haben wir hier schon öfters besprochen. Wenn du nicht lange suchen möchtest, findest du eine Kopie einer Anleitung zur Wiederherstellung hier: https://pixolin.de/arbeitsschritte-reparatur-gehackte-website/
Übrigens ist es eher unwahrscheinlich, dass deine Reademe-Datei Java enthält. Du meinst vermutlich JavaScript-Code. JavaScript und Java haben soviel miteinander zu tun wie Mettigel mit dem Kreis Mettmann. 😉
Ja, da hast du natürlich Recht.
Das mit den Passwörtern, das glaube ich wird es nicht sein, da die Passwörter nur am Rechner eingegeben werden.
Aber ich denke neu aufsetzen und zum Tagegeschäft übergehen…. ich weis nicht, aber man sollte schon versuchen das Einfallstor zu finden, auch wegen weiteren Eingriffen solcher Subjekte.
PS. Bei dem Kreis Mettmann bin ich mir auch nicht sicher ob der sicher ist ;_)
Der Kreis Mettmann wird sicherer sein, als so mancher Mettigel.
Das wichtigste ist zunächst einmal, die Website vom Netz zu nehmen (also nicht nur die .htaccess
auszutauschen). Dann musst du schauen, ob du ein aktuelles Backup hast und falls nicht, jede einzelne Datei im wp-content
-Verzeichnis auf möglichen Schadcode untersuchen (jede, der Code kann auch in vermeintlichen pdf-, jpg- oder png-Dateien stecken). Alles andere – WordPress, Theme, Plugins – tauschst du gegen frische Dateien aus verlässlicher Quelle aus. bevor du das dann hochlädst, musst du die Zugangsdaten für Kundenmenü, FTP, MySQL, WordPress (jeden Benutzer, bitte auch prüfen ob „zufällig“ welche hinzugekommen sind) und deren E-Mail-Accounts ändern.
Es gibt diverse Methode, mit der du deine Installation weiter absichern kannst. All-in-One-Security-Lösungen wie WordFence wiegen Nutzer leider oft in trügerischer Sicherheit („ich hab alles angeklickt, jetzt kann nix mehr passieren“), sind aber im Zweifelsfall vermutlich besser als „nix“. (Mir gefällt persönlich SecuPress ganz gut, weil es zumindest erklärt, worum es geht.) Ansonsten ist für mich der Artikel von Torsten immer noch Goldstandard (und seine Ausführungen zu All-in-One-Plugins lesenswert).