Support » Installation » Mein Blog wurde gehackt (wahrscheinlich durch das Plugin Duplicator)

  • Hallo zusammen,
    ich habe am 01.07.2022 die Nachricht von All inkl Hosting und Google die Nachricht erhalten, dass mein Blog gehackt wurde.
    Bei telefonischer Rücksprache mit All inkl Hosting wurde mir mitgeteilt, dass der Angriff sehr wahrscheinlich über das Duplicator Plugin durchgeführt wurde. Das Plugin war im FTP meines Blog http://www.nebenberuflich-zum-betriebswirt.de und ging dann über in das FTP von http://www.bienen-blog.com, wo es vorher nicht installiert war.
    Auf Anraten der Telefonhotline habe ich das Plug bei nebenberuflich…im Backend gelöscht. Beim Bienenblog habe ich es aus dem FTP Ordner bei All inkl. gelöscht. Es war ursprünglich nur im Betriebswirt Blog installiert. Das Aufrufen des Blogs dauert jetzt ewig lange.

    Im Gespräch mit der Hotline wurde mir gesagt, dass ich den Blog komplett neu aufsetzen soll. Da fehlen mir leider die Kenntnisse. Kann mir jemand sagen wie ich das machen kann? Texte usw. sollen nach Möglichkeit erhalten bleiben. Da steckt viel Arbeit drin.
    Gibt es ein zu empfehlendes Plugin, um den Blog nach so etwas wieder auf einen funktionierenden Stand zu bringen?
    Die Hotline teilte mir weiterhin mit, dass der Schadcode wahrscheinlich schon seit Februar auf der Seite ist. Die Mail mit der Benachrichtigung von Google und all inkl. kam aber wie gesagt erst Freitag.

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 1 Antwort (von insgesamt 1)
  • Wenn Angreifer eine Website hacken, hinterlassen sie sehr oft so genannte Backdoors, Hintertürchen in Form eines Skripts, über das sie auch nach Entfernung des eigentlichen Schadcodes jederzeit wieder Zugriff auf die Website erhalten. Während du dann erleichtert feststellst, dass du den Schadcode beseitigt hast (in dem Fall Duplicator gelöscht …), ist es nur eine Frage der Zeit, bis der Angreifer wieder neue Änderungen an deiner Website vornimmt.

    Die Backdoors verstecken sich meist hinter unevrfänglich klingenden Dateinamen, sowas wie blog.php, default.php, settings.php und es gibt auch keine allgemeingültigen Muster, wie Schadcode aussieht. Deshalb der Vorschlag deines Webhosters, alles neu aufzusetzen.

    Wie du eine WordPress-Website manuell bereinigst, haben wir hier schon oft besprochen. Kurz zusammengefasst musst du die Website vorübergehend außer Betrieb nehmen, alle Zugangsdaten austauschen, die Dateien für WordPress-Core, Themes und Plugins gegen Originaldateien austauschen und dabei sicherstellen, dass keine Dateien des Angreifers übrig bleiben und die selbst hochgeladenen Mediendateien sehr, sehr sorgfältig durchschauen (selbst hinter vermeintlichen Bild-Dateien können sich Malware-Skripte verbergen). Unerfahrene Anwender übersehen leicht etwas oder vergessen bei der Wiederherstellung der Website bestimmte Schritte, was dazu führen kann, dass die Website nicht mehr funktioniert. In diesem Fall ist es besser, einen erfahrenen Freelancer zu beauftragen. (Wegen des zu betreibendenen Aufwands freue ich mich nicht unbedingt über solche Aufträge, aber meistens lässt sich zumindest der Inhalt retten.)

    Erheblich einfacher ist es, die Website komplett zu löschen und anschließend ein unkompromittiertes Backup wiederherzustellen. Wenn du selber vergessen hast, Backups zu erstellen (nicht gut), kannst du beim Webhoster nachfragen – die haben oft eigene Backups, die sie (ggf. gegen Gebühr) wiederherstellen können.

Ansicht von 1 Antwort (von insgesamt 1)