Über Google findest du einige Hilfsangebote.
[Link gelöscht]
—
Moderationshinweis: Wir wissen alle, wie Suchmaschinen bedient werden. Den Link habe ich entfernt, weil er keinen Support darstellt.
-
Diese Antwort wurde geändert vor 4 Jahren von Bego Mario Garde. Grund: Link entfernt
Kurz gefasst musst du per FTP den WordPress-Core, Themes und Plugins löschen, neu herunterladen und auf deinen Webserver wieder hochladen, um kompromittierte Dateien sauber zu ersetzen. (Bitte auch nicht einfach überschreiben, da manche FTP-Clients vorhandene Dateien einfach überspringen, statt sie zu ersetzen.)
Das Verzeichnis wp-content/uploads
mit deinen selbst hochgeladenen Mediendateien solltest du sehr sorgfältig auf Malwarebefall prüfen. Selbst in vermeintlichen jpg-Dateien können Backdoor-Scripte stecken, über die Angreifer nach einer Bereinigung wieder Zugriff auf die Website erhalten.
Natürlich solltest du alle Zugangsdaten austauschen – also nicht nur von den WordPress-Benutzern, sondern auch für MySQL-Datenbank, FTP-Zugang und Kundenmenü beim Webhoster.
Eine detailliertere Anleitung findest du z.B. hier:
https://kinsta.com/de/blog/wordpress-gehacked/#guide
Thread-Starter
Esra
(@esrxay)
Ich habe soeben die Möglichkeit gehabt über Strato ein Backup vom 30.08.2020 wiederherzustellen. Was ich jedoch nicht verstehe ist, warum die Malware immer noch existiert, ich hatte an dem o.g. Datum gar keine Probleme. Ich bin echt am verzweifeln.
Wenn ich Themes und Plugins lösche und auf den Webserver erneut hochlade, geht nichts auf der Seite verloren?
Dann war anscheinend die Website zu dem Zeitpunkt bereits beschädigt.
Du kannst WordPress, Themes und Plugins löschen und anschließend durch frisch heruntergeladene Software ersetzen, ohne deine Inhalte (die in der Datenbank hinterlegt sind) zu beeinträchtigen. Nicht gelöscht werden dürfen
wp-config.php
.htaccess
und
- Verzeichnis
wp-content/uploads
da hier individuelle Einstellungen bzw. deine selbst hochgeladenen Mediendateien liegen, die nicht ersetzt werden können.
Diese Dateien musst du allerdings sehr sorgfältig auf möglichen Malware-Befall untersuchen, weil hier gerne Backdoors eingerichtet werden.
Oft werden auch vermeintlich harmlose Verzeichnisse wie /blog
, /settings
oder default
angelegt, in denen Malware-Skripte zur Ausführung liegen.
Thread-Starter
Esra
(@esrxay)
Plugins löschen und erneut installieren hat nicht funktioniert.
Im FTP Server auf jeden Fall überprüfen, ob diese Virendateien vorhanden sind:
rms_.php
Unique_.php
Wp_.php
Mu_.php
Pl_.php
da block
Fl_.php
nm_php.
function.php.org
rms_unique_wp_mu_pl_fl_nm.php
In meinem Fall befand sich „rms_unique_wp_mu_pl_fl_nm.php“ unter dem Verzeichnis /wp-content/mu-plugings
Zudem empfehle ich auch unter phpMyAdmin wp_options siteurl und home zu überprüfen.
Der nächste Schritt wäre auf jeden Fall die Sicherheitslücken zu finden und zu schließen.
Vielleicht hilft das dem einen oder anderen.