Support » Allgemeine Fragen » Passwort wird permanent gehackt – was tun?

  • Hallo,
    in meiner o.g. Website wird regelmässig das Passwort gehackt… sprich, ich muss (im täglichen Rhythmus) mein Passwort neu generieren lassen.
    Mehr passiert aber (zum Glück!!) nicht…

    Die wichtigsten Konfig-Daten:
    – installiertes Theme: Twentyseventeen Child Theme
    – Sicherheitsplugin: BulletProof Security (Login-Security steht auf „ON“)

    Den User „admin“ habe ich bereits gelöscht.

    Was kann ich tun?

    Danke für Euer Feedback, und viele Grüße

    Stefan

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 3 Antworten - 1 bis 3 (von insgesamt 3)
  • Moderator Torsten Landsiedel

    (@zodiac1978)

    Schau dir mal diesen Artikel an:
    https://codex.wordpress.org/de:Hardening_WordPress

    Ich bezweifle, dass hier wirklich das Passwort geknackt wird. Es wird eine Sicherheitslücke sein, eine Backdoor, die du übersehen hast oder dein System hat einen Keylogger. Alles wahrscheinlicher als ein geknacktes Passwort (zumindest wenn du die generierten Passwörter von WP nimmst, die sind ziemlich sicher).

    Ich würde also zusätzlich mal dein System scannen und zwar lokaler Rechner wie WordPress online, ob da alles noch Original ist.

    Vielleicht auch mal WP löschen und durch einen frischen Satz ersetzen (außer dem /wp-content-Ordner natürlich, den musst du manuell durchschauen und ggf. Plugins und Theme einzeln ebenfalls löschen und mit frischem Download ersetzen).

    Ein Blick auf https://codex.wordpress.org/FAQ_My_site_was_hacked kann sicher auch nicht schaden für mehr Tipps.

    Und ein Blick auf die Datenbank macht auch Sinn. Insbesondere ob neue User angelegt wurden.

    Gruß, Torsten

    Ergänzend zu den völlig korrekten Ratschlägen von Torsten noch der Hinweis: deine Website schein kein SSL-Zertifikat zu haben. Wenn du dich unverschlüsselt (also per http://example.com/wp-login.php) im Backend anmeldest, kann jeder im gleichen Netzwerk mit einem geeigneten Programm deinen Benutzernamen und dein Passwort im Klartext mitlesen bzw. in einer Datei speichern.

    Ansonsten kannst du sicher noch einiges für die Sicherheit deiner Website tun. All-in-One-Sicherheits-Plugins sind mit Verstand zu verwenden.

    Thread-Starter stef7777

    (@stef7777)

    Danke Euch beiden, Torsten und Bego! Ich checke das mal entsprechend.
    Komplett-Virenscan läuft schonmal.

    @bego: Wie meinst Du „All-in-One-Sicherheits-Plugins sind mit Verstand zu verwenden“? Diese besser nicht einsetzen, und stattdessen für jede Sicherheitsfunktion ein eigenes Plug-In? Das wird dann aber ziemlich komplex, oder?

Ansicht von 3 Antworten - 1 bis 3 (von insgesamt 3)
  • Das Thema „Passwort wird permanent gehackt – was tun?“ ist für neue Antworten geschlossen.