Seltsame Links bei Herkunftsseiten
-
Hallo,
ich weiß gar nicht, wie ich meine Frage präzisieren soll – mir ist etwas seltsames aufgefallen und ich frage mich, ob das so seine Richtigkeit hat oder ob meine Website gehackt wurde.
Ich habe das Plugin „Count per Day“ installiert und schaue dort immer mal auf die Herkunftsseiten. Dabei tauchen immer wieder Unterseiten meiner eigenen Website auf, die es nicht gibt und die ich auch nie erstellt habe (s. Bild, die rot markierten). Ich lande dabei immer auf meiner Website mit dem Hinweis, dass die Seite nicht existiert.
Ich kann damit überhaupt nichts anfangen. Woher kommen diese Seiten?
Screenshot der Adressen (weshalb auch immer lässt es sich nicht direkt anzeigen)
http://fs5.directupload.net/images/160810/iz2s97jp.jpg
Moderationshinweis: Image-Tag hinzugefügt. Grüße, Bego
Danke für jegliche Erklärungen 🙂
Lisa
-
Das könnte tatsächlich ein Hinweis sein, dass in deiner Website Malware vorhanden ist. Schau doch mal, ob du mit dem Plugin Sucuri Security – Auditing, Malware Scanner and Security Hardening etwas herausfindest.
Das Online-Tool von Sucuri Security zeigt aktuell keine Malware an, was aber keine Gewähr bedeutet, dass die Website definitiv nicht gehacked wurde.
Hast du das Plugin „invit0r“, das auf der Grafik gezeigt wird, tatsächlich installiert und aktiviert? Es ist derzeit gar nicht mehr im Plugin-Verzeichnis gelistet. 2012 hatte das Plugin eine Vulnerability, wodurch ein Angreifer beliebige Dateien einschleusen konnte. Gleiche Frage für die anderen Plugins, die da angezeigt werden. Wurden sie von dir selbst installiert und sind sie aktuell aktiviert?Hallo,
Das Plugin von Sucuri Security habe ich jetzt installiert, aber muss mich erst mal einlesen, wie ich es richtig verwende… Habt ihr einen Tipp, was ich jetzt direkt am besten tun kann?
Beispielhaft noch mal die vollen Links. Diese Plugins sind nicht installiert/aktiviert und wurden das von mir auch nie. Mein Virenprogramm schlägt auf den Seiten nicht an.
http://lisapannek.com/wp-content/plugins/hungred-post-thumbnail/js/hpt_ini.js
http://lisapannek.com/wp-content/plugins/invit0r/lib/php-ofc-library/ofc_upload_image.php
Die Website wurde erst 2013 aufgesetzt.
Wenn diese Plugins bei dir nie installiert waren, ist das natürlich schon seltsam und du solltest dem nachgehen (siehe Begos Vorschläge). Da die Malware-Scanner bisher nicht anschlagen, würde ich auch mal mit dem Deutsch sprechenden Plugin-Autor von CPD Kontakt aufnehmen. Auf dieser Seite bietet er unten die Möglichkeit, Fragen zu stellen und reagiert offenbar auch. Vielleicht ist ihm Ähnliches im Zusammenhang mit seinem Plugin ja schon mal untergekommen.
Nachtrag: Ich würde vielleicht bei Vulnerability-Verdacht in anderen Foren etc. keinen Screenshot mit dem Domainnamen machen, eher die kompletten Pfade angeben und davor meinedomain.de setzen.
In den letzten 24 Stunden hatte ich fast 100 Login-Versuche
Besonders fleißig ist da immer der gleiche. Bei Sucuri habe ich nur eine Whitelist gefunden, gibt es auch eine Blacklist, damit ich die IP zumindest temporär sperren kann?
Dafür kann man ein Plugin einsetzen, z.B. Cerber Limit Login Attempts oder andere (bekannter, aber lange nicht mehr upgedatet), oder bestimmte IP-Adressen manuell in der Datei .htaccess sperren (Deny from IP-Adresse). Eine grundlegende Maßnahme ist zudem, nicht mit dem Standard-Benutzernamen „admin“ unterwegs zu sein und vor allem, ein starkes Passwort zu verwenden. Das wären mal ein paar Maßnahmen, die mir spontan einfallen, wobei es noch zig andere gibt, um eine WP-Installation abzusichern.
- Das Thema „Seltsame Links bei Herkunftsseiten“ ist für neue Antworten geschlossen.