Wegen der weiten Verbreitung von WordPress gibt es immer wieder Versuche, Schwachstellen zu finden und so Zugriff auf möglichst viele Websites zu bekommen. WordPress ist grundsätzlich gut dagegen geschützt, sofern die üblichen Vorsichtsmaßnahmen eingehalten werden: Starke Passwörter, zeitnahe Aktualisierungen, keine Software aus unsicheren Quellen, keine Anmeldung im Backend über unverschlüsselte Netzwerkverbindungen.
Bei der regelmäßigen Anmeldung wäre zunächst die Frage, ob du in den Einstellungen vielleicht eine Registrierung grundsätzlich abschalten willst oder aber Registrierungen moderieren willst (z.B. mit dem Plugin New User Approve).
Es kann(!) aber auch sein, dass deine Website bereits mit einer Malware versehen ist, die einen Nutzer automatisch hinzufügt und immer neu anlegt, wenn der Nutzer gelöscht wurde. Das Verhalten, dass die Datei user-edit.php zum Download angeboten wird, kann auch mit zu niedrigem Arbeitsspeicher und/oder fehlerhafter Serverkonfiguration zusammenhängen. Ich würde vorsichtshalber eine Prüfung mit Sucuri Security – Auditing, Malware Scanner and Security Hardening vornehmen.
Ziel der Registrierung kann ganz simpel sein, dass der Nutzer Spam-Kommentare hinterlassen möchte.
Wie immer: Backups, oft und regelmäßig. Sicherheitsmaßnahmen, wie oben erwähnt. Augen auf, wenn irgendwas komisch ist (z.B. auf einmal ganz andere Verzeichnisse in der WordPress-Installation auftauchen, php-Dateien komische, nicht entzifferbare Inhalte haben).
Vielen Dank für Deine schnelle Antwort.
Ich habe das sucuri mal installiert. Scheint sehr vielversprechend zu sein. Leider ist mein Englisch etwas schwach im technischen Bereich. Aber es sollte reichen. Habe das mal konfiguriert und es läuft. Bisher ist das System scheinbar sauber.
Auf komische Zeichen in wp-settings und co hatte ich schon überprüft. Was den Ordner „blogs“ angeht (habe hier in einem anderen Artikel was dazu gelesen), nun den habe ich. Der wurde automatisch vom Provider mitinstalliert, als ich das Paket buchte. Ich denke, ich werde das System mal neu aufspielen. Da sich im Blog noch keine Inhalte befinden und ich erst im Oktober starten möchte, spielt es keine große Rolle. Dauert zwar wieder etwas, um die Plugins alle rein zu bekommen, und dazu noch optimal zu konfigurieren.
Nun ja, ich lösche immer alle Themes und Plugins, die ich nicht brauche. Hab mal gelesen, das wären Türchen (oder könnten es zumindest sein) für Bösewichte.
Dass der Server nicht genug verarbeiten kann, das bezweifle ich, da ich ja mein Profil ohne Probleme aktualisieren kann. Dann ist es auch so, dass mein Hosting-Paket speziell für WP zugeschnitten ist, zumindest laut Anbieter.
Backups gibt es noch keine, aber was solls, erst mit Inhalten werde ich mich darum kümmern müssen!
Vielen Dank noch einmal. Sollte sich was ergeben, melde ich mich wieder.
Mittlerweile lässt sich das Benutzerprofil von mir bearbeiten. Was da los war, weiß ich auch nicht. Ich denke auch nicht, dass es am Server liegt, da ich ja anstandslos mein Profil bearbeiten konnte. Nun gut!
Sucuri läuft auch und es gibt bisher nichts Abnormales. Vielleicht hatte der Server an dem Tag Schluckauf oder ein Plugin lag quer.
Ich denke mal alles ist gut und das Thema kann als „Geloöst“ getagt werden!
