• Was ein Mist! Schon wieder wurde meine Wordpress-Website gehackt.

    Ich hatte mir von 1Password ein sehr starkes Password machen lassen. Der Admin-Benutzername ist nicht "Admin"
    Alle Plug-Ins sind auf dem aktuellen Stand.

    Trotzdem hat es wieder jemand geschafft, sich bei mir als Admin einzutragen

    Habe gerade einen Restore aus einem Backup von HostEurope gemacht. Nun läuft wieder alles.
    Passwort auch nochmal geändert und noch länger und noch mehr Sonderzeichen. Ich glaube aber da hat jemand wieder einen Weg am Admin vorbei gefunden.

    Das nervt. als hätte ich nix anderes zu tun als den Mist dieser Idioten wegzumachen und zu reparieren.
    Ausserdem ist auf meiner Seite doch nichts zu holen. Kein Webshop oder sowas.

    Man bin ich sauer.
    Aber ich bin ja Entspannungstrainer und Stresscoach. Da coache ich mich doch gleich mal selber
    ----------
    Danke und Tschüß
    Udo

    • Passwort und Benutzername ist bei Weitem nicht alles.

      Ich betreue viele, sehr unterschiedliche Wordpresseiten und bei mir ist noch nix gehackt worden. Auf allen habe ich iThemes Security [ithemes.com] installiert.
      Keine Ahnung, ob ich deshalb Ruhe habe, aber es schadet sicherlich nicht.
      Ansonsten musst Du halt vorsichtig bei der Auswahl des Themes und der PlugIns sein. Hier gibt es, gerade bei den kostenlosen, viele schwarze Schafe.
      ----------
      Mach! [prism-break.org] Dich! [kuketz-blog.de] Frei! [privacy-handbuch.de] | No [posteo.de] iCloud! [nextcloud.com]

      • Was mich gerade etwas irritiert: Unter "Benutzer" steht folgendes...

        Alle (2), Administrator (2) und ganz rechts "ein Element"
        In der Liste bin aber nur ich als Admin aufgeführt. Warum werden dann (2) angezeigt?

        Ok, das mit dem PlugIns werde ich etwas ausdünnen. Habe die Seite machen lassen und arbeite mich da gerade durch. Auf das eine oder andere PlugIn werde ich sicher verzichten können...
        ----------
        Danke und Tschüß
        Udo

        • Kann ich auch nur raten:

          Vielleicht steht der "Hack-Admin" noch in der Datenbank.
          Hast Du auch ein (ungehacktes) Datenbankbackup wieder hochgeladen?

          Dabei gehen Dir natürlich Inhalte verloren, die Du seitdem eingestellt hast.
          ----------
          Mach! [prism-break.org] Dich! [kuketz-blog.de] Frei! [privacy-handbuch.de] | No [posteo.de] iCloud! [nextcloud.com]

      • Security Software für Wordpress ist eher Schlangenöl

        Ähnlich wie bei Anti-Viren-Software. Das Zeug wiegt den Nutzer im Glauben, daß seine Site sicher sei. Dabei werden größtenteils kosmetische Änderungen vorgenommen. Security by Obscurity. Das hält vielleicht ein paar Skript-Kiddies ab, aber gegen ernsthafte Hacker hilft das nichts.
        ----------
        „Wer die Freiheit aufgibt um Sicherheit zu gewinnen, der wird am Ende beides verlieren.“ (Benjamin Franklin)

    • Die "Angriffe" laufen nahezu automatisiert, dazu muss bei dir auch nichts zu holen sein.

      Die Code-Qualität von WordPress ist gruselig und die von vielen Plugins ist noch viel schlimmer ...

      Das Backup welches du jetzt verwendet hast, könnte unter Umständen auch schon "infiziert" sein und wartet nur darauf wieder aktiviert zu werden. Ich würde an deiner Stell jemanden dran lassen der sich wirklich damit auskennt, vorzugsweise jemanden der mehr als "nur" WordPress-Entwickler ist.

      Falls du selbst etwas machen möchtest:
      1. Ersetze alle WordPress-Dateien (wp_includes, wp_admin und wie sie alle heißen)
      2. Schau dir die Benutzer in der Datenbank an
      3. ersetze die Plugins durch die Originale aus zuverlässiger Quelle
      4. deinstalliere alle Plugins die du nicht wirklich benötigst
      5. Wurde das Thema manipuliert? Ggf. auch ersetzen.

      • Der Ersteller meiner Seite konnte mir beim letzten Angriff auch nur eine Rechnung stellen und "halbe" Arbeit abliefern.

        Den großen Rest habe ich an zwei Tagen mit Hilfe der sehr hilfsbereiten HostEurope Spezis selber gemacht.

        Danke für deine Tipps. Werde ich so machen.
        Diese Eintrag in der Datenbank (siehe mein zweites Posting hierzu) scheint ein Fehler zu sein.
        Im Datenbank Frontend ist auch wirklich nur ein Benutzer in der Tabelle eingetragen. Scheint also ein Anzeigefehler in WP zu sein.

        PlugIns nehme ich zur Zeit nach und nach raus. Dieser Revolution Slider wird nur auf der Titelseite genutzt. Da kommt jetzt (erstmal) ein statisches Bild hin. Dann dieser Slidermist auch weg.

        So nach und nach dünne ich alles aus.

        Und wenn mir so richtig die Galle hochkommt, werfe ich WP ganz raus und baue die Seite mit Rapidweaver nach
        ----------
        Danke und Tschüß
        Udo

    • Stichwort: Hardening

      Wordfence scheinst du ja zu nutzen - schau dir auch mal das "Sucuri" Security Plugin an. Dort gibt es den Bereich "Hardening", womit du allerlei Dinge verbessern kannst.

      Evtl. ist eines der Plugins auch schadhaft und schleust immer mal wieder wen ein. Möchtest du eine Aufstellung deiner Plugins hier preisgeben? Gerne auch per Direktnachricht an mich.

      • Folgende PlugIns nutze ich:

        Alle sind auf dem aktuellen Stand:

        All-in-One Event Calendar by Time.ly
        Fusion Core
        Revolution Slider
        UpdraftPlus - Backup/Restore
        Wordfence Security

        Vielen Dank für Eure Mühe.

        Ach nochwas: Ich habe hier auch noch ein deaktiviertes PlugIn: "Login Logo". Das halte ich für überflüssig und habe es deaktiviert. Kann ein deaktiviertes PlugIn auch ein Einfalltor sein?
        ----------
        Danke und Tschüß
        Udo

        • Was ich noch merkwürdig finde ist folgendes:

          Unter Dashboard/PlugIns gibt es nur die PlugIns, die ich im vorherigen Beitrag aufgeführt habe.
          Dashboard zeigt an: "Alle PlugIns sind auf dem neuesten Stand"
          Unter LayerSliderWP steht aber: "You have version 5.0.2 installed" und in der Liste am Ende der Seite steht: "LayerSlider 5.3.2 is now available"

          Wenn ich LayerSliderWP wähle, wir mir folgendes angezeigt: "You haven't created any a slider yet."
          Wird er deshalb nicht in der PlugIn-Liste aufgeführt?

          Da das PlugIn nicht in der PlugIn Liste steht, kann ich es auch nicht deaktivieren.

          Ich kapier da noch nicht die Zusammenhänge. Immer wenn ich gerade denke "ach so ist das", lese ich wieder was anderes )
          ----------
          Danke und Tschüß
          Udo

          • Der Layerslider ist ein kostenpflichtiges Plugin

            http://codecanyon.net/item/layerslider-responsive-wordpress-slider-plugin-/1362246
            Update kann man immer nur dort beziehen, wo man das Plugin gekauft hat - oder aber man ergänzt im Backend von Wordpress die Seriennummer.

            Beim Layerslider und auch beim Revolutionslider ist es äußerst ratsam, immer Updates zu machen, da diese Tools oft für Backdoor-Attacken genutzt werden. Wenn du einen der Slider nicht brauchst deaktiviere und lösche am besten das Plugin komplett.

            • Ich kann den LayerSlider ja nicht deaktivieren...

              Ich will es ja

              Aber unter "PlugIns" ist das PlugIn nicht aufgeführt.
              Es gibt direkt im Dashboard einen Eintrag "LayerSliderWP". Dort kann ich zwar Slider anlegen (im Moment ist keiner angelegt) aber nicht das PlugIn aktivieren/deaktivieren/löschen.
              ----------
              Danke und Tschüß
              Udo

              • Hm… was für ein Theme ist das denn?

                Möglicherweise lag der Slider im Theme bei und wurde bereits falsch rausgelöst oder ist nicht als Plugin realisiert…

                • Avada von ThemeFusion

                  Ich verzweifle gerade etwas Ich wollte den Slider auf der Hauptseite (mit RevolutionSlider) rausnehmen und einfach ein statisches Bild reinsetzten. Dann könnte ich auch auf das RevolutionSlider PlugIn verzichten.

                  Ich schaffe es aber nicht, das Bild immer auf volle Breite angezeigt zu bekommen. Immer habe ich einen weißen Rand rechts und links. Herrje. Ich werde das heute Abend so machen. Scheiß auf den Rand
                  Und um weitere Fragen (und manchmal kommt ja auch Häme nach dem Motto "Lass das von einem Fachmann machen...") zu vermeiden: Ich kann mir im Moment einen Spezi einfach nicht leisten. Ich habe viel Geld in die Hand genommen um die Seite erstellen zu lassen. Aber im Moment muss ich das so hinbekommen.

                  Da bin ich für Jeden Tipp dankbar!
                  ----------
                  Danke und Tschüß
                  Udo

    • Boah, ey. Macht da jemand einen Privatkrieg gegen mich?

      Wordfence meint gerade in einer Mail, ich solle den Kalender von Time.ly updaten.

      Ich will mich einloggen, komme aber nicht mehr an das Einlogfenster. Alles weiß
      Auf der Hauptseite ist nun auch der obere Teil weiß. Da hat jemand was eingefügt.

      Gibt es einen Trick, wie ich mich trotzdem noch einloggen kann??
      ----------
      Danke und Tschüß
      Udo

    • Noch mal kurz zu deinen Plugins: der Revolution Slider hat schon des öfteren Probleme

      verursacht. Als ich neulich auch einen Slider suchte, wurde viel Negatives über diesen Slider geschrieben. Ist ein Einfalltor für Schadsoftware, er nutzt eine Sicherheislücke aus. Müsste zwar mit Version 4.2 behoben sein, aber wer weiss... Ich habe ihn nicht installiert und auch keinen Angriff erlebt

      Vielleicht hilft es!

      Quellen: Hier den Verweistext eingeben. [heise.de]

      Hier den Verweistext eingeben. [wptavern.com]