Pascal

Das Warum kann ich aktuell nicht erörtern – ich weiß nur, dass ich ein mal einen Fall hatte, da kam es auch wieder zu Spam (selbst nach Änderung der DB credentials) und nach Änderung der Salts und (nochmaligen) Neusetzens der Passwörter, war Ruhe.
Womöglich Zufall. Oder bei den Admin User PW Änderungen wurde zuvor eins vergessen.

Vielleicht macht’s auch keinen Sinn – Schaden kann’s jedoch nicht. Der Rest ist hoffe ich hilfreich.

Ein separater Webspace wäre sicher vernünftig. Generell sollte man nicht mehrere Installationen nicht-isoliert voneinander auf einem Webspace betreiben.

Wenn teils Schadcode auf dem Webspace liegt, sind sonst nämlich alle Seiten/Installationen in Gefahr. Breitet sich aus.

Offenbar wurde der Hack nicht vollständig bereinigt. Wie bist du vorgegangen?
Am besten ist immer ein Runderneuern der Seite.
Kurzbeschreibung dazu:
https://forum.wpde.org/threads/wss-php-gehackt.180961/#post-750981

SEO Spam im cache Verzeichnis ist ein typisches Symptom.

https://website-bereinigung.de/blog/wordpress-absichern
Vermeidet viele Hacks im Vorhinein.
Und auch als Post-Hack Maßnahme sind die 3 Schritte sehr nützlich.

Gruß

Pascal

• Diese Antwort wurde vor 4 Jahren, 2 Monaten von Pascal geändert.

/my-account-2/lost-password/ ist die URL. WooCommerce im Spiel.. Daher gibt’s auch hier einen 404.

Ich habe hier über mein Security Setup gebloggt, mit dem ich sehr gut fahre:
https://website-bereinigung.de/blog/wordpress-absichern

Die NinjaFirewall hat sich in der Facebook Sicherheit Gruppe etabliert. Auch die wp-content Absicherung ist nach, bzw. gerade bei wiederkehrenden Angriffen, eine gute Sache.

Die Malware Dateien, die wp-sleeps mit sich bringt, sind so dann zumindest nicht aufrufbar.

Denk daran das Datenbank Passwort zu ändern und sichere den Login zusätzlich ab.

Mit dem Plugin „NinjaScanner“ könntest du auch mal nach übriggebliebenem Schadcode suchen.

Gruß

Pascal

Über Google findest du einige Hilfsangebote.

[Link gelöscht]

—
Moderationshinweis: Wir wissen alle, wie Suchmaschinen bedient werden. Den Link habe ich entfernt, weil er keinen Support darstellt.

• Diese Antwort wurde geändert vor 4 Jahren, 7 Monaten von Bego Mario Garde. Grund: Link entfernt

Schau dir bitte auch die Access Logs an (Analyse Tool).

Um die Seite besser abzusichern, empfehle ich die NinjaFirewall (im Dashboard unbedingt den Full WAF Mode aktivieren, damit die Firewall per auto_prepend_file vor und nicht in der Seite läuft).

Den Login zusätzlich per WPS Hide Login umzubenennen, kann auch nicht schaden.
Die letzten Tage hatte ich bei den bearbeiteten Hacks immer wieder User Logins aus dem fernen Ausland mit Schadcode-Plugin Installation (namens WP-Clean-Plugin). Perfekt getarnt.. 🙂

Hi @rreimche,

ich habe auch ständig mit dieser Problematik zu kämpfen und ein paar Hinweise in meinen Blog geschrieben.

Kurz zusammengefasst:

Die Seite (bzw., wie von pixolin erwähnt, der gesamte Webspace) sollte komplett sauber und sicher sein. Schadcode, eingeschleuste Links/Skripte und die Ursache müssen behoben sein.
http://aw-snap.info/file-viewer/ würde ich als Scanner noch empfehlen, Stichwort User-Agent und Referrer.

Nach dem Befall sollte eine Neuindexierung in der Search Console angestoßen werden (inkl. Sitemap Einreichung).
Der Google Cache muss vollständig sauber sein.

1-2 Tages später kann man Google um eine erneute Überprüfung bitten.

Wenn die sich weiterhin querstellen, kannst du mit ein bisschen Hartnäckigkeit die Eskalation des Falls in die Malware Fachabteilung erwirken. Manchmal hilft nichts anderes.
Der First Level Support hat da ein entsprechendes Formular für.

Ich hatte es auch schon, dass die Seiten auf einer Ads internen Blacklist gelandet sind.
Da wurden bei deren Scan dann sämtliche internen Links, auf z.B. simple CSS Dateien, als schädlich eingestuft. Sprich deren angewandter Scan hat sich selbst in den Schwanz gebissen, bildlich ausgedrückt.
Hier hilft es dann nur, wenn dies Fachabteilung den Schalter umlegt und die Sperrung manuell aufhebt.

Gruß

Pascal