Gut möglich, dass es ein Hack ist. Es kann auch sein, dass irgendwer Zugriff auf das E-Mail-Konto des Redakteurs besitzt und sich über die „Passwort vergessen“ – Funktion Zugriff verschafft hat.
Bevor du absicherst, musst du erst einmal dein Website auf Hacks überprüfen. Schlimmer als der Verlust deines Passwortes als Admin ist der Schaden, den Hacker über deine Website anrichten können (Versenden von Spam, Phishing, Warez, KinderP*, Schadsoftware usw. usf.) – du bist dafür haftbar. In shared hostings können Hacker u. U. sogar andere Websites die auf demselben Server liegen komprimittieren. Ein Admin-Passwort ist wie gesagt das kleinste Problem, das lässt sich über die Datenbank wieder neu einrichten.
Weitere Lektüre:
https://www.google.de/search?q=WordPress+Website+auf+Hacks+untersuchen
Thread-Starter
pezi
(@pezi)
Danke fd. Antwort!
die „Passwort vergessen“ – Funktion sendet aber nur an die hinterlegte Mailaddy des Users, oder? Er hat aber keine Verständigung bekommen.
Aber ev. kann man diese Funktion überlisten und ihr eine andere Ziel-Adresse geben?
Doch ich habe einen ganz anderen, weit harmloseren Verdacht: Er (der Kollege) meinte er habe seine Bio Angaben im Profil geändert. Aha! war er doch drin!
So, wenn man sich das ansieht wie knapp die Buttons „Passwort generieren“ und „Benutzer aktualisieren“ beieinander liegen (va. bei kleineren Schirm) dann wärs es sogar mir fast passiert den falschen zu erwischen. Er meinte sich da nicht mehr so sicher zu sein.
Jedoch: das sollte einen auffallen…
Aber wie halt manche sind: blitzschnell auf alles klicken und Meldungen oder so einfach wieder drauf und raus und fertig…
Bez. Hacker im allg.: Nun, ja das ist mir leider bekannt welche Kreise so ein Einbruch zieht und das va. beim Shared Hosting auch die „Nachbarn“ damit gefährdet werden könnten.
Ich werde jedenfalls alles genau anschauen, ich habe eh so ein Tool laufen das alle Veränderungen am Server anzeigt – und ich hab natürlich längst alle Logindaten des Projekts geändert.
Die abschließende Frage ist nur: sollte ich auch die anderen Mitglieder, (alle höchstens „Autor“) zu einem ändern ihrer Logins auffordern oder es gleich selbst tun und denen das neue PW schicken?
Tja, keine Ahnung, was der Datenschutz dazu sagt (ob die da jemals was von mitbekommen würden 😀 ), wenn Userdaten möglicherweise gefährdet sind, da fragst du mich zu viel. Es gibt imo auch Plug-Ins, die einfach das Passwort wechseln, oder den User dazu auffordern – wäre die unauffälligere Variante:
https://wordpress.org/plugins/search.php?q=expire+password
Wenn ihr den Blog im engeren Kreis betreibt, solltest du darüber nachdenken das Login per .htaccess zu schützen.
Alternativ, ein Plug-In wie Brute Force Login Protection zu installieren.
Thread-Starter
pezi
(@pezi)
Sind alles interessante Tipps, ich werd aber mal nur das mit .htaccess machen, weil erstens ist mir diese Methode lange geläufig und sehr wirksam und zweitens will ich nicht zu viele Plugins laufen haben. Sind ohnehin schon viele, wo man sich anders helfen kann mach ichs ohne Plugin.
Wobei, das mit den limitierten Logins und Brute Force Schutz hört sich auch gut an. Wobei wenn ersteres Plugin eh nur sagen wir 3 Versuche zulässt kann ein Angreifer dann noch mit einen Brute Force überhaupt was ausrichten?
Hallo vielleicht könnt ihr mit helfen seit gestern komme ich nicht auf meinen Blog das Passwort war auf meinem Rechner gespeichert . Ich habe dann zweimal versucht ein neues anzufordern. Es kam dann mit vielen Stunden Verspätung am Abend. Nun habe ich heute morgen wieder ein Passwort angefordert mit meinem Nutzer Namen und es sollte an die hinterlegte Emailadresse geschickt werden dies war vor 8 Stunden und es kommt kein Link das ich das Passwort neu machen kann. Ich bin Nutzer und Admin zu beiden Adressen kommt kein link.
@regina31: Für neue Fragen immer einen neuen Thread öffnen. Danke!
ok vielen dank das wusste ich nicht wo mache ich dies ??
Thorsten Landsiedel kann man bei WP anrufen in Deutschland und dort sich bei Fragen Hilfe holen ??
ok vielen dank das wusste ich nicht
Steht so in unserer FAQ.
wo mache ich dies ??
Du gehst in Forum > Allgemein, scrollst ganz nach unten und füllst dort die Formularfelder für einen neuen Beitrag aus.
kann man bei WP anrufen in Deutschland und dort sich bei Fragen Hilfe holen ??
WordPress ist ein Open Source-Projekt, an dem sich viele Freiwillige weltweit beteiligen. WordPress ist aber keine Firma, bei der man anrufen kann. Du kannst aber entweder hier Fragen stellen (die ebenfalls von Freiwilligen benantwortet werden), ein WordPress-Meetup in deiner Nähe besuchen oder im Internet nach WordPress-Dienstleistern suchen.
Anders sieht es aus, wenn du bei WordPress.com ein Account hast. Hier handelt es sich um ein Webhosting-Angebot, dass auf der Software WordPress basiert. Hilfe dazu findest du hier.
ich brauch dringend Hilfe, Mein Blog heisst yogablogsu, ich habe diesen gemacht. Es sieht so aus als ob mir den jemand geklaut hat: https://yogablogsu.wordpress.com/. Ich habe den mit dem theme in wordpress.com > BLOG AT WORDPRESS.COM. | THE ROWLING THEME. gemacht. WEnn ich jetzt reingehe. Ist ein anderes theme. Und ein anderer name:https://en.wordpress.com/wp-login.php?action=rp&key=aINkkjbc1SE539URxhLs&login=yogaasanaatem
yogaasanaatem. Ich kann meinen blog nicht mehr bearbeiten. Wer kann mir bitte bitte helfen, denn sonst muss ich nochmals alles selbst machen. Und bin ganz stolz, das ich den Blog selbst gemacht habe. Danke. Su
Abgesehen davon, dass wir immer wieder darum bitten, für neue Fragen einen eigenen Thread aufzumachen, bist du hier mit Fragen zu WordPress.com verkehrt.
Hier im Forum beschäftigen wir uns ausschließlich mit der Software WordPress, nicht mit dem Hostingangebot. Die Unterschiede werden hier beschrieben. In diesem Forum wird dir auch sicher gerne weitergeholfen.
