Das ist ungewöhnlich und könnte ein Anzeichen für einen Angriff Dritter sein.
Wirf mal einen Blick in die index.php
und wp-config.php
im WordPress-Stammverzeichnis sowie die functions.php
deines aktuell verwendeten Theme – vielleicht fällt dir da schon etwas ungewöhnliches auf? Oft wird Malware als verschlüsselter (unlesbarer) Code abgelegt, der mit base64_decode() entschlüsselt und ausgeführt wird und z.B. einen Befehl enthält, nicht vorhandene Benutzerkonten (wieder) herzustellen. Wenn du nicht auf Anhieb fündig wirst (der Code kann sich auch an ganz anderen, unauffälligen Stellen verstecken und ist meist oft als settings.php
oder default.php
oder ähnliches deklariert, was die Suche ein wenig erschwert), kannst du mal ein Plugin wie den Sucuri Scanner verwenden.
Die einfachste Form das zu repaprieren ist, ein vorhandenes, nicht komprimitiertes Backup wiederherzustellen. Das hast du doch sicher?
Vielen Dank für die schnelle Antwort. Da bin ich tatsächlich auch fündig geworden und konnte nun den User löschen. Alle PW geändert.
Ich arbeite zwar schon lange mit WordPress, fühle mich an solchen Stellen dennoch sehr als Laie. Gibt es noch Tipps, wie so etwas in Zukunft besser vermieden werden kann? Regelmäßige Updates spiele ich natürlich generell ein.
Mit Passwort ändern und User löschen ist es unter Umständen nicht getan, da Angreifer häufig Backdoors hinterlassen – Schadcode, um nach einer Reinigung der Dateien schnell wieder Zugriff auf die Website zu erlangen. Über die notwendigen Schritte zur Bereinigung der Website haben wir uns hier schon öfters ausgetauscht. Wenn du nicht lange suchen magst, findest du eine Anleitung von mir unter dieser URL: https://pixolin.de/arbeitsschritte-reparatur-gehackte-website/
Zum Thema zusätzliche Absicherung lies dir doch mal diesen Beitrag von Kinsta durch, der das Thema ausführlich behandelt, gut erklärt und vor allem auch Tipps zur Optimierung gibt: https://kinsta.com/de/blog/wordpress-sicherheit/