Support » Allgemeine Fragen » Site gehackt?

  • Hallo Zusammen,

    ich bin langsam am verzweifeln. Seit etwa einem Jahr wird einmal im Quartal meine Seite gehackt. Der Ablauf ist immer gleich: der Hoster weist auf einen Schädling hin (PHP.EVAL.CRYPT), ich schaue nach und

    1. die Admin-E-Mailadresse wird geändert auf fdzadmin@meine-domain.de
    2. Es werden die beiden Plugins installiert: wp-file-manager und protect-uploads
    3. im Stammverzeichnis liegen nach und nach mehrere korrupte Dateien (rgjwiiz.php, mhezf.php .. etc.)

    folgendes habe ich schon versucht:

    1. Alles, was an Namen und Passwörtern geändert werden kann, geändert
    2. Core und Plugins neu geladen
    3. Verzeichnisse wp-content und plugins umbenannt
    4. Theme nach Lücken gecheckt
    5. Wordfence, Sucuri und Limit Login Attempts installiert

    Dann habe ich die IP, die sich eingeloggt hatte, auf die Blacklist bei Limit Login und Wordfence gesetzt.

    Seit dem kommt es „nur noch“ zur Änderung der Admin E-Mail. Meinen Hoster hab ich schon gefragt, der hatte allerdings keinen Rat. Hat jemand von euch eine Idee wo die Lücke sein könnte?

Ansicht von 5 Antworten - 1 bis 5 (von insgesamt 5)
  • Hallo,
    ohne weiteren Angaben können wir dir hier kaum helfen.
    Hast du dir den folgenden Beitrag aus unserer FAQ schon angesehen: Seite gehacked, was tun?

    Zitat: „Das Wichtigste zuerst
    Bleib ganz ruhig und nimm sofort deine Website vom Netz, damit die Computer der Besucher deiner Website nicht mit dem Schadcode infiziert werden.“

    Wenn du bis dato mit dem Problem noch nicht weitergekommen bist, wäre evtl. auch sinnvoll sich z. B. an die Facebook Gruppe WordPress Sicherheit – Hackerangriffe, Sicherheitslücken, etc. zu wenden.

    Viele Grüße
    Hans-Gerd

    … wird einmal im Quartal meine Seite gehackt …

    Entweder wurde eine Sicherheitslücke nicht geschlossen oder eine Backdoor nicht entfernt.

    Angreifer hinterlassen bei Angriffen gerne ein Skript, um sich zu einem späteren Zeitpunkt wieder Zugriff zu verschaffen (so genannte Backdoor). Das Skript kann sich auch in vermeintlichen Mediendateien (*.jpg, *.png, *.ico …) verstecken, was oft nicht bekannt ist oder von Anwendern/-innen übersehen wird. Hier hilft nur, das Verzeichnis wp-content/uploads zu sichern und ausnahmslos jede Datei auf Schadcode zu prüfen. Alle anderen Dateien mit Ausnahme der (ebenfalls geprüften) wp-config.php sollten dann gelöscht und nach einem frischen Download aus dem Repository durch neue Dateien ersetzt werden. (Hier ist wichtig, wirklich zu löschen, nicht nur zu überschreiben, weil sonst bereits vorhandene Malware-Skripte nicht entfernt werden.)

    Weitere Schlupflöcher bieten Plugins und Themes aus unbekannten Quellen, nicht aktualisierte Themes und Plugins mit Sicherheitslücken, falsch gesetzt Dateirechte, leicht zu erratene oder geleakte Passwörter für WordPress, MySQL-Datenbank, FTP, SSH-Zugang und/oder Kundenmenü des Webhosters. Die MySQL-Datenbank muss zumindest auf unbekannte Benutzer in der Tabelle wp_users geprüft werden.

    Sicherheits-Plugins sind nicht unumstritten, weil sie leicht ein falsches Sicherheitsgefühl vermitteln, wenn „alles angeklickt“ wurde. Mit einigen Maßnahmen, vor allem Einträgen in der .htaccess aber auch z.B. Deaktivieren der REST API, wenn nicht benötigt, lässt sich die Website weiter gegen Angriffe absichern. Eine gut verständliche Anleitung auf Deutsch findest du z.B. auf WordPress Sicherheit – 19 Schritte zum Verriegeln Deiner Website.

    Ohne weitere Informationen zur Website (insbesondere den Website-Bericht) können wir nicht weiter auf das Thema eingehen – darauf hatte Hans-Gerd bereits hingewiesen. Sicher gibt es noch andere Anlaufstellen, in denen du ähnlichen Rat bekommst, etwa die ebenfalls schon genannte Facebook-Gruppe (Meta?) oder der Blog von WordFence.

    Thread-Starter konsument

    (@konsument)

    Hi,

    danke euch beiden für eure Erklärungen und die weiterführenden Links. Wenn ich die Zeit finde, werde ich die Schritte von Mario mal durchgehen und sehen ob sich was ändert. Es wird nach wie vor die Admin-Mail geändert.

    Zwei Monate bei einer gehackten Website nichts zu tun ist schon grob fahrlässig.

    Hi,

    bei dieser Art Hack, dieser Symptomatik kann es sein, dass ein Prozess in Dauerschleife auf dem Server läuft, der die wp-config ausliest.

    Abhilfe: Benenne bei deinem Hoster das Website Basisverzeichnis um (sprich der Ordner, worin sich WordPress auf deinem Webspace befindet).

    Anschließend die Domain auf das umbenannte Verzeichnis verweisen lassen und noch mal das Datenbank Passwort anpassen.

    Anschließend sollte die Admin Mailadresse nicht mehr wie von Geisterhand geändert werden.

    Sicherheitshalber solltest du die Website noch mit Wordfence scannen (High Sensitivity Mode in den Optionen einstellen).

    Für die Absicherung empfehle ich diese Maßnahmen: https://website-bereinigung.de/blog/wordpress-absichern

    Wordfence besser wieder deaktivieren/löschen wenn Scan sauber – im laufenden Betrieb setze ich auf die NinjaFirewall (mehr Performance, bessere Schutz und die NinjaFirewall funkt nicht nach Hause, wie Wordfence es tut – Stichwort Datenschutz).

    Gruß

    Pascal

Ansicht von 5 Antworten - 1 bis 5 (von insgesamt 5)
  • Das Thema „Site gehackt?“ ist für neue Antworten geschlossen.