• Hallo,

    meine WordPress Website wurde einmal anscheinend gehackt und dann hat ein Freelancer diese wieder gesichert…

    Jetzt habe ich zwei Sicherheitsplugins installiert und die Seite ist langsam.

    Wordfence und Anti-Malware-Sicherheit und Brute-Force-Firewall

    Im FTP Server werden viele Dateien angezeigt, die ich nicht identifizieren kann. Ich habe diese auch einmal umbenannt und das hat auf die Website keine Auswirkungen, soweit ich das sehen konnte.

    Kann ich die Dateien jetzt löschen?

    Gibt es ein Tool mit dem man überflüssige Dateien löschen kann?

    Gibt es eine Möglichkeit, die Seite so zu kopieren, dass man auf ein WordPress nur die Plugins und Inhalte überträgt?

    Was sind eure Tipps?

Ansicht von 15 Antworten – 1 bis 15 (von insgesamt 16)
  • Moderator Michi91

    (@michi91)

    Wie heißen diese Dateien und wo befinden sie sich?

    Thread-Starter nutzer1234

    (@nutzer1234)

    Es befinden sich im Stamverzeichnis:

    .htig8ckk.appconfig.php

    it-api.php

    it-api.php.tgz

    vdconnect-etatmptw.php

    xmlrpc.php

    vdconnect-etatmptw (Ordner)

    .tmb (Ordner)

    .quarantine (Ordner)

    Thread-Starter nutzer1234

    (@nutzer1234)

    Die beiden letzten Ordner sind aber leer.

    Moderator Michi91

    (@michi91)

    Es befinden sich im Stamverzeichnis:

    .htig8ckk.appconfig.php
    –> Vermutlich vom Installationssystem des Webhosters

    it-api.php
    it-api.php.tgz
    –> Kenn ich nicht

    vdconnect-etatmptw.php
    vdconnect-etatmptw (Ordner)
    –> Gehören beide zum Software Anbieter VirusDie

    xmlrpc.php
    –> Gehört zu WordPress

    .tmb (Ordner)
    .quarantine (Ordner)
    –> Gehören zum File-Manager Plugin

    Die Datei xmlrpc.php ist Bestandteil des WordPress-Core.

    Nach einem Angriff reicht es oft nicht, ein, zwei infizierte Dateien zu löschen, weil Angreifer Backdoors in verschiedenen Dateien hinterlassen, um sich nach einer Bereinigung jederzeit wieder Zugriff zu verschaffen. Lösung ist, das Verzeichnis wp-content/uploads zu sichern, alle Dateien darin sorgfältig durchzusehen (auch in vermeintlichen Bild-Dateien mit Endungen wie .jpg oder .png kann ein Malware-Skript stecken), eine Liste der verwendeten Plugins zu erstellen (Verzeichnisnamen in wp-content/plugins notieren), dann alles auf dem Server zu löschen und zuletzt WordPress, Theme und Plugins frisch von WordPress.org herunter- und auf den Server hochzuladen. Selbstverständlich sollten alle Zugangsdaten geändert werden, auch die zur MySQL-Datenbank, weshalb es reicht, die wp-config.php mit den neuen Zugangsdaten manuell anzulegen (wp-config-sample.php kopieren, Zugangsdaten eintragen). Das gesicherte Verzeichnis wp-content/uploads muss dann noch wiederhergestellt werden, womit die Säuberung aber abgeschlossen sein sollte. Leider alles viel Aufwand.

    Thread-Starter nutzer1234

    (@nutzer1234)

    Ok. Ich versuche das heute Abend einmal.

    Kann man das vorher auch testen auf einer anderen Domain?

    Hallo,
    vielleicht ist auch das Hybrid-Meetup in Düsseldorf für dich interessant.
    Das Thema ist „Website gehackt – Was tun?“.

    Viele Grüße
    Hans-Gerd

    Kann man das vorher auch testen auf einer anderen Domain?

    Du könntest ein Backup der mit Malware infizierten Website erstellen und in einer lokalen Arbeitsumgebung (z.B. Local-WP) wiederherstellen, dort dann den Vorgang „üben“ (testen, ausprobieren – wie du es nennen magst).

    Thread-Starter nutzer1234

    (@nutzer1234)

    @pixolin wenn ich diesen Vorgang mache und die Dateien sichere, wie kann ich sicher sein, dass ich keine Schadsoftware auf meinen Computerlade? Das wäre sehr ungünstig.

    Thread-Starter nutzer1234

    (@nutzer1234)

    Der Hackerangriff ist schon 3-4 Monate her und ein Freelancer hatte sich damals damit beschäftigt.

    Die Seite läuft auch wieder ganz normal.

    Ich habe den Beitrag in erster Linie gestartet, um herauszufinden, ob man prüfen kann, ob eine Seite noch infiziert ist. Denn meine Seite ist ziemlich langsam, dass kann aber auch durch die Sicherheitsplugins kommen.

    Thread-Starter nutzer1234

    (@nutzer1234)

    Ich habe noch einmal den Freelancer gefragt, was er gemacht hatte. Hier seine Antwort:

    Glad to hear form you ) I performed full malware cleanup according to the most recommended method :

    -Reinstalled fresh wordpress

    – Removed malware in wp content

    – Setup wordfence security plugin ( + extended protection )

    Setup virusdie.com premium service for 30 days ( already disabled)

    From all these actions only wordfence plugins security extende protection could have a bit of impact on the website speed , as it somehow filters the traffic to block attackers.. But this couldn`t be a big impact. To check it up, you could just temporarely disable the wordfence plugin.

    None of the other actions performed on the site could somehwo affect the speed.

    Würdet ihr dem vertrauen oder nicht?

    Die Aussage „Reinstalled fresh wordpress, Removed malware in wp content“ hast du von uns ja auch bekommen.

    Die Installation von Wordfence finde ich persönlich nicht optimal, weil sie Benutzern falsche Sicherheit vorgaukeln kann („hey, ich hab alles angeklickt, bin also völlig sicher?!“) und beim Anwender kein Gespür für Sicherheit entwickelt wird. Aber da gibt es unterschiedliche Ansichten. Die schlechtere Performance hat der Freelancer selbst eingeräumt.

    Auf einigen Fernsehsendern laufen diese Sendungen, bei denen mit versteckter Kamera geschaut wird, wie ein Kundendienst-Mitarbeiter einen Rohrbruch oder eine kaputte Waschmaschine repariert, was er nachher abrechnet und dass der ehrenwerte Meister vom alten Schlag alles kostenlos macht und sich mit einem Handschlag verabschiedet. Aber da läuft wenigsten noch die versteckte Kamera mit.
    Leistungen eines WordPress-Dienstleisters aus der Ferne und nur anhand ein paar Zeilen Zusammenfassung zu beurteilen halte ich für unseriös. Das hat auch mit dem Support, den wir hier anbieten möchten, wenig zu tun. 🙂

    Thread-Starter nutzer1234

    (@nutzer1234)

    Ich kann deinen Punkt komplett nachvollziehen. Ich schaue mir das Meetup an dem besagten Dienstag an, welches mir @hage empfohlen hat an und entscheide dann, was ich mache.

    Die Rezensionen des Freelancer sind gehäuft (1000+) positiv, was nichts heißen mag.

    Dennoch habe ich bei dem Neuinstallieren von WordPress habe ich ehrlich gesagt ein wenig Angst.

    Das Performance Problem konnte ich bereits lösen.

    Dennoch habe ich bei dem Neuinstallieren von WordPress habe ich ehrlich gesagt ein wenig Angst.

    Du meinst den Austausch der Dateien?

    Du kannst doch erst einmal alle Dateien auf dem Server herunterladen und in einem „Quarantäne-Verzeichnis“ auf deinem Computer parken. Bitte nicht ein Backup der Datenbank vergessen.

    Nehmen wir an, ich habe als Angreifer im Verzeichnis wp-includes/php-compat eine Datei default.php gespeichert, in der sich ein Malware-Skript befindet. Mit einem erneuten WordPress-Update wird die Datei weder überschrieben (es gibt sie ja nicht im Core) noch gelöscht. Aufgrund des Namens wirst du auch nicht direkt darauf kommen, dass es sich um Malware handelt. Unter Umständen kannst du solche Skripte mit grep-Funktionen mühsam aufspüren, aber das sicherste ist einfach, alles vom Server zu löschen und durch unkompromittierte Dateien zu ersetzen.

    Ich gehe gehackte Website immer sehr pragmatisch an: „Forensik“ ist zeitaufwändig, bringt meistens wenig. Eine individuelle Suche kostet ebenfalls viel Zeit. Mir ist lieber, die Plugin-Verzeichnisnamen für ein Skript in eine Datei zu kopieren und dann nach Löschung aller Dateien per WP-CLI in einem Schwung aus sicheren Quellen zu installieren – alles möglichst effizient und ohne mit dem Schicksal zu hadern. 😀

    Thread-Starter nutzer1234

    (@nutzer1234)

    Ok gut. Gibt es eine detaillierte Anleitung, wie ich das durchführen kann.

    Damit wäre mir glaube ich sehr geholfen.

Ansicht von 15 Antworten – 1 bis 15 (von insgesamt 16)
  • Das Thema „WordPress FTP Dateien unbekannt“ ist für neue Antworten geschlossen.