kostenloser Webspace werbefrei: lima-city


Wordpress Hacker

lima-cityForumDie eigene HomepageSicherheit im Internet

  1. Autor dieses Themas

    rsnmedia

    rsnmedia hat kostenlosen Webspace.

    Hallo zusammen

    Ich weiss gar nicht, wie ich anfangen soll, kurz: All meine 15 WordPress-Seiten werden immer wieder gehackt.

    So mancher wird sagen, Firewall, Plugin Updaten etc. dann ist alles save. Dachte ich auch, Frontend und Backend nur erreichbar aus dem DACH raum, WP Security aktiv, IQ Block Country aktiv und beide sehr stark am blockieren (z. B. falsche User Names werden direkt blockiert).

    Und trotzdem erscheinen Dateien, die nicht von mir sind, heute Morgen wurde die /about.php verändert oder/und eine unde.php Datei erstellt. (403WebShell)


    Spannend ist, die meisten Seiten sind komplett anders, irgend ein Plugin fehlt überall, die Themes sind anders, es existieren andere Benutzer und nicht dieselben und sind andere Admin E-Mails.

    Ich weiss gerade wirklich nicht weiter ein Back-up einspielen und warten, bis sie wieder reinkommen, kann auf Dauer nicht die Lösung sein. Hat jemand von euch auch solche Erfahrungen gemacht? Wenn ja, was war die Lösung?

    Ich freue mich auf eure Antworten.

    Gruss, Gian-Luca
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. witze-dschungel

    witze-dschungel hat kostenlosen Webspace.

    Wenn alle 15 Wordpress-Seiten wirklich immer wieder "gehackt" werden, kann es auch an Malware auf deinem System liegen, welche entsprechende FTP- oder Wordpress-Zugangsdaten mitschneidet. Hast du das überprüft?

    Liegen alle 15 WordPress-Seiten beim gleichen Hoster? Vielleicht liegt dort das Problem, zum Beispiel mit einem unsicheren Passwort.

    Mehr "Sicherheits"-Plugins machen WordPress auf den ersten Blick vielleicht "sicherer". Dadurch wird allerdings auch die Angriffsfläche erhöht, falls eines der Plugins Sicherheitslücken hat.

    Bist du dir sicher, dass die Backups wirklich sauber sind? Nach einer Kompromittierung sollte man eigentlich WordPress komplett neu aufsetzen oder zumindest alle Dateien mit den Standard-Dateien ersetzen.

    In der offiziellen Dokumentation stehen auch entsprechende Hinweise. https://wordpress.org/documentation/article/faq-my-site-was-hacked/

    Auf Managed Wordpress Hosting umzusteigen wäre eventuell auch eine Option.

    Beitrag zuletzt geändert: 29.12.2023 9:37:44 von witze-dschungel
  4. Hast du sichere Passwörter?
    Immer das gleiche Passwort?
    2 FA mit TOTP oder WebAuthn?

    Beitrag zuletzt geändert: 29.12.2023 11:03:55 von xn--94h
  5. bruchpilotnr1

    Kostenloser Webspace von bruchpilotnr1

    bruchpilotnr1 hat kostenlosen Webspace.

    rsnmedia schrieb:
    Hallo zusammen

    Ich weiss gar nicht, wie ich anfangen soll, kurz: All meine 15 WordPress-Seiten werden immer wieder gehackt.

    So mancher wird sagen, Firewall, Plugin Updaten etc. dann ist alles save. Dachte ich auch, Frontend und Backend nur erreichbar aus dem DACH raum, WP Security aktiv, IQ Block Country aktiv und beide sehr stark am blockieren (z. B. falsche User Names werden direkt blockiert).

    Und trotzdem erscheinen Dateien, die nicht von mir sind, heute Morgen wurde die /about.php verändert oder/und eine unde.php Datei erstellt. (403WebShell)


    Spannend ist, die meisten Seiten sind komplett anders, irgend ein Plugin fehlt überall, die Themes sind anders, es existieren andere Benutzer und nicht dieselben und sind andere Admin E-Mails.

    Ich weiss gerade wirklich nicht weiter ein Back-up einspielen und warten, bis sie wieder reinkommen, kann auf Dauer nicht die Lösung sein. Hat jemand von euch auch solche Erfahrungen gemacht? Wenn ja, was war die Lösung?

    Ich freue mich auf eure Antworten.

    Gruss, Gian-Luca


    Hallo erstmal,

    wenn du Probleme hast bezüglich der Sicherheit solltest du vielleicht überlegen ein 2FA Plugin für Wordpress zu installieren. Zusätzlich wäre ein Captcha Plugin sehr hilfreich.

    Stärkere Passwörter, welche man sich aufschreiben und nicht merken kann sind immer gut.

    Ein Plugin, welches alles Aufzeichnet wäre ebenfalls hilfreich. Log-In Protokolle könnten aufschluss darüber geben und sowieso Wordpress aktuell halten ist immer ratsam.

    Das 2FA Plugin kann auch per E-Mail Betrieben werden.

    Es könnte auch sein, dass es an der Filesberechtigung liegt, also dass gewisse Dateien mehr dürfen als sie eigentlich benötigen um zu funktionieren. Wenn Dateien viele Berechtigungen haben könnte man so Scripte einschleußen die dann Tür und Tor öffnen.

    Ansonsten würde ich mal deinen Hoster fragen ob dieser Helfen könnte oder dir vielleicht sagen könnte woran es liegt. Diese führen auch Protokolle durch.

    Beitrag zuletzt geändert: 29.12.2023 13:58:08 von bruchpilotnr1
  6. bruchpilotnr1 schrieb:
    Ein Plugin, welches alles Aufzeichnet wäre ebenfalls hilfreich. Log-In Protokolle könnten aufschluss darüber geben und sowieso Wordpress aktuell halten ist immer ratsam.

    Diese Plugin ist kein Schutz dient aber der nachverfolgung.

    Was möglich ist mit dem Plugin ip Ranges aus dem Angriffe kommen herauszufinden, um diese später zu blockieren.
  7. Hast du Zugriffe auf deine Systeme mit geloggt? Also kannst du nachvollziehen, wann, woher und wie zugegriffen wird? Es kann auch sein, wenn du Codeschnipsel übernommen hast in die Seiten, dass dieser "infiziert" ist und dadurch einen Gateway offen lässt, durch welchen das System sich anpassen lässt.

    Prüf in der Shell vlt. auch ob Dateizugriffsrechte adäquat sind auf deinem Server.
  8. - xmlrpc deaktivieren
    - alle Verzeichnisse auf Schreibgeschützt setzen, mit Ausnahme des wp-content/upload Ordners.

    Nachteil ist, es funktionieren keine automatischen Updates mehr, weil du den schreibschutz vor jedem update aufheben musst, aber angesichts deiner Situation ist das das kleinere Problem. Ich hatte es im Unternehmensumfeld auch, dass routinemäßig täglich zwischen 2 und 4 uhr morgens automatisiert angriffe liefen. Obig genanntes hat diese Standard-Angriffe unterbunden und das Wordpress war weiterhin bedienbar.

    weiterhin gehend kannst du diverse Datenbanktabellen für den wordpress-user auf read-only einschränken, wie gesagt, macht sich nur beim Update nicht so gut, das heißt vor jedem Update machst du dir ein SQL, welches die Berechtigungen anpasst einmal lockert und einmal wieder festigt. manche Plugins, wie diese Slider-Plugins fässt du ja auch nicht laufend an, sondern die müssen einfach laufen. die kannst du auch auf read-only setzen. damit kannst du deine Angriffsfläche reduzieren, weil du vom System her bereits die Angriffsfläche reduzierst.

    ob diese Wordpress-Plugins was bringen, wage ich zu bezweifeln. IP-Beschränkungen müssten auf Ebene des Web-Servers greifen, damit die Angriffsfläche effektiv reduziert wird. wordpress ist dafür bekannt, sicherheitslücken relativ lange mit sich mitzuschleifen.
  9. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!