Verfasste Forenbeiträge

Ansicht von 15 Antworten - 1 bis 15 (von insgesamt 51)
  • Diese Absicherungsmaßnahmen würde ich empfehlen: https://website-bereinigung.de/blog/wordpress-absichern

    Mit den NinjaFirewall Notifications bleibst du über sicherheitsrelevante Ereignisse informiert (Admin Konto Änderungen, Plugin Sicherheitsupdates, Plugin/Theme Uploads).

    Und ein Scan mit NinjaScanner und Wordfence (high sensitivity mode in den Scan Options vorher einstellen) kann nicht schaden – mögliche Überreste aufdecken.

    Gab es zwischendurch neue unbekannte Admin User oder hattest du mal Login Probleme?

    Die 60 Seiten laufen hoffentlich nicht im gleichen Hosting Tarif?

    Falls doch, würde ich da ansetzen und alle Instanzen voneinander trennen, sodass eine Ausbreitung unmöglich ist. Umzug in ein Plesk Hoting o.ä.. So könntest du die Seiten auch effizienter warten (Plesk WordPress Toolkit).

    Ansonsten würde ich noch diese Absicherungsmaßnahmen empfehlen, was jedoch den ersten Rat nicht ersetzt:

    https://website-bereinigung.de/blog/wordpress-absichern

    Die durch den Hack angelegten .htaccess Dateien kannst du schneller auf dem gesamten Webspace per SSH Verbindung in der Konsole löschen.

    • Diese Antwort wurde geändert vor 5 Monaten, 1 Woche von Pascal.
    Pascal

    (@kitepascal)

    Liegt nur diese Seite im Hosting Paket oder gibt es mehrere?

    Ändere mal das Basisverzeichnis der Domain (umbenennen, Domain Einstellungen entspr. ändern) und setze diese Maßnahme um.

    Die Änderung des Basisverzeichnisses kann bewirken, dass ein auf dem Server fortlaufender Prozess, der im Rahmen des Hacks gestartet wurde, ausgehebelt wird.

    Mit der NinjaFirewall kannst du auch die XML Schnittstele deaktivieren/einschränken und das Firewall Log kann hilfreich sein.

    Ansonsten schadet auch ein Scan mit Wordfence nie. Bist du sicher, dass kein Schadcode in die neue Installation übernommen wurde? Vorher in den Scan Options den High Sensitivity Mode einstellen.

    • Diese Antwort wurde geändert vor 6 Monaten von Pascal.

    Ist evtl. DISALLOW_FILE_MODS in der wp-config.php aktiv? https://gist.github.com/yanknudtskov/8255226

    Sonst würde ich vorschlagen, dass du den WordPress Kern in aktueller Version erst mal neu installierst.

    Dazu einfach alles außer der wp-config.php und des /wp-content Verzeichnisses in einen Müll Ordner verschieben.

    Anschließend ein frisches WordPress 6.3.1 Archiv entpacken/hochladen.

    Wenn du wieder Plugins installieren kannst, könntest du einen Scan mit Wordfence machen. Vorher den High Sensitivity Scan Modus in den Options aktivieren.

    Hier habe ich ein paar bewährte Absicherungsmaßnahmen zusammengetragen: https://website-bereinigung.de/blog/wordpress-absichern

    Von der NinjaFirewall wirst du über veränderte Admin Konten, Logins, Plugin Uploads usw. per Mail informiert (alles einstellbar).

    Nein, der Hoster stellt üblicherweise nur die Technik und kann in einem guten Tarif bestenfalls mit Backups oder (meist unvollständigen) Scan Ergebnissen dienen.

    Wenn ein sauberes Backup da ist, kann man es damit versuchen, anschließend alles aktualisieren und Absicherungsmaßnahmen treffen.

    Brauchbare Malware Scanner mit der besten Erkennungsquote sind Wordfence (im High Sensitility mode) und der NinjaScanner.

    Die NinjaFirewall hat einen ganz nützlichen File Guard und Dateisystem Monitor. Wenn man die Mails, Security Alerts ein paar Tage beobachtet, bekommt man darüber recht gut mit, wenn noch mal etwas im Argen sein sollte. Login Vorgänge, Passwortänderungen, Dateiänderungen..

    Die Seite scheint wieder sauber zu sein – keine Spam Weiterleitung mehr.

    Forum: Allgemeine Fragen
    Als Antwort auf: Site gehackt?
    Pascal

    (@kitepascal)

    Hi,

    bei dieser Art Hack, dieser Symptomatik kann es sein, dass ein Prozess in Dauerschleife auf dem Server läuft, der die wp-config ausliest.

    Abhilfe: Benenne bei deinem Hoster das Website Basisverzeichnis um (sprich der Ordner, worin sich WordPress auf deinem Webspace befindet).

    Anschließend die Domain auf das umbenannte Verzeichnis verweisen lassen und noch mal das Datenbank Passwort anpassen.

    Anschließend sollte die Admin Mailadresse nicht mehr wie von Geisterhand geändert werden.

    Sicherheitshalber solltest du die Website noch mit Wordfence scannen (High Sensitivity Mode in den Optionen einstellen).

    Für die Absicherung empfehle ich diese Maßnahmen: https://website-bereinigung.de/blog/wordpress-absichern

    Wordfence besser wieder deaktivieren/löschen wenn Scan sauber – im laufenden Betrieb setze ich auf die NinjaFirewall (mehr Performance, bessere Schutz und die NinjaFirewall funkt nicht nach Hause, wie Wordfence es tut – Stichwort Datenschutz).

    Gruß

    Pascal

    Pascal

    (@kitepascal)

    Es reicht eigentlich, wenn du das Passwort neu setzt.

    Was war denn der Mail Inhalt? Das ist zu 99,9% Fake/Spam. Wenn eine Seite erfolgreich gehackt wurde, wird der Betreiber darüber du gut wie nie vom Angreifer informiert – denn sonst könnte ja direkt was dagegen unternommen werden.

    Bei welchem Hoster seid ihr denn?

    Ab einer gewissen Anzahl ist es sinnvoll die Webseiten jeweils isoliert zu hosten, sodass Malware sich nicht unter den Seiten ausbreitren kann, wenn nur eine der Seiten eine Sicherheitslücke hat.

    Die Inhalte befinden sich alle in den Datenbanken und in wp-content – sprich mit einem Datenbank Backup und Sicherung der Medien hast du im Grunde alles, sofern keine individuellen Plugins oder Themes zum Einsatz kommen.
    Core, Plugins, Themes kannst du neu installieren.

    Ja, das gibt als standalone Plugin und als Erweiterung für das oben von @pixolin verlinkte Two Factor Plugin.

    NinjaFirewall.

    Anleitung und ein paar weitere Tipps, entstanden aus der beinahe täglichen Arbeit mit gehackten Seiten, hier:
    https://website-bereinigung.de/blog/wordpress-absichern

    WebAuthn finde ich komfortaber als 2FA.
    In Kombination mit einem umbenannten Login völlig ausreichend, denke ich.

    Genau das gleiche Phänomen hatte ich letzte Woche bei mehreren Kunden.

    Das sind auf dem Server laufende Prozesse, die 1x gestartet (über Tage hinweg) immer weiter Schindluder treiben und nur vom Hoster/Serveradmin gekillt werden können.
    Siehe auch sucuri Artikel – Malicious server processes.

    Bisher kannte ich es nur von Dateien, die immer wieder neu geschrieben werden.
    Ich vermute hier wird dann fortlaufend die wp-config ausgelesen und in der Datenbank werden Usermail + Password geändert. Denn die Änderung des Datenbank Passworts hilft nur so lange, bis es in der wp-config.php wieder stimmt.

    Abhilfe: Benenne das Hauptverzeichnis um (das Verzeichnis, wo sich die Site zuvor drin befunden hat, sprich wo die Domain draufzeigt)
    Z.B.:
    vorher: /html/wordpress
    nachher: /html/wordpress-6
    Das Datenbank Passwort noch mal neu setzen und dann solltest du Ruhe haben.
    Zusätzlich den Hoster ggf. bitten alle PHP Prozesse zu killen.

    Um sichererer unterwegs zu sein, kannst du z.B. die NinjaFirewall installieren (Anleitung)

    Du erhälst Mail-Benachrichtigungen darüber, wenn wie in diesem Fall Admin User verändert werden oder wenn es ausstehende Plugin Sicherheitsupdates gibt.

    Forum: Allgemeine Fragen
    Als Antwort auf: Webseite gehackt?

    wpsec zeigt die Site als potentially vulnerable. Plugins, auch Premium, am besten stets rundum aktuell halten.

    Erweiterte Security Maßnahmen à la Firewall können auch nie schaden.

    Hat irgendeiner der Admins je Malwarebytes genutzt oder ein Malwarebytes Browser Add-On am laufen gehabt?

    Löschen kannst du es, ja.

    Von Wordfence kommt das definitiv nicht.
    Sicherheitshalber könntest du aber einen Wordfence Full Scan durchführen – vorher in den Einstellungen in den Scan Options auf „High-Sensitivity“ stellen – sodass alle Scan Optionen/Checkboxen aktiv sind.

    Forum: Allgemeine Fragen
    Als Antwort auf: Beiträge

    Wie ändere ich diese Salts Einträge? das habe ich nicht richtig verstanden?

    Einfach den 8-Zeiligen Abschnitt, der sich über obigen Link präsentiert/zufällig generiert, an entsprechende Stelle in die/der wp-config.php kopieren/ersetzen.

    Forum: Allgemeine Fragen
    Als Antwort auf: Beiträge

    Das Warum kann ich aktuell nicht erörtern – ich weiß nur, dass ich ein mal einen Fall hatte, da kam es auch wieder zu Spam (selbst nach Änderung der DB credentials) und nach Änderung der Salts und (nochmaligen) Neusetzens der Passwörter, war Ruhe.
    Womöglich Zufall. Oder bei den Admin User PW Änderungen wurde zuvor eins vergessen.

    Vielleicht macht’s auch keinen Sinn – Schaden kann’s jedoch nicht. Der Rest ist hoffe ich hilfreich.

Ansicht von 15 Antworten - 1 bis 15 (von insgesamt 51)