Schlagwort: Entfernen

WordPress gehackt

Was mache ich, wenn mein WordPress gehackt wurde und wie erkenne ich es?

Warum wird WordPress gehackt? Ziel der Hacker ist in den seltensten Fällen die Seite ansich sondern der Zugriff auf einen Webserver. Hierüber wird dann Spam, unerwünschte Inhalte (Medikamente, Pornografie oder Plaiate) oder Malware veteilt. Und gen das muss umgehend unterbunden werden denn die Spam Reputation des Servers sinkt (landet zB auf Blacklist) und die Besucher der Webseiten riskieren eine Virenbefall ihres Rechners.

Was gib es als Anhaltspunkte?

  • Wenn ihr beim Kommado mailq auf dem Server eine Anzeige bekommt mit Requests >0 bzw Liste an Mails in der Queue ist das eher schlecht wenn gerade kein Mailing läuft.
  • Prozesse in der Prozessliste ala ./cron-php sehr verdächtig
  • Webseiten können  nicht erwünschte Eingabefelder zum Upload von Files zeigen oder direkt Malware per Javascript verteilen.
  • es gibt unbekannt Benutzer im WordPress, deren Namen zB „service“ enthält

Wie gehe ich vor?

  • Webseiten offline nehmen oder zumindest Wartungsseite schalten
  • Mailq löschen
  • System aktualisieren
  • WordPress und alle Plugins sowie Themes updaten
  • Passwörter erneuern
  • Backups sichten
  • Wenn das Neuaufsetzen der Seite keine Option ist muss die Lücke gefunden werden.

Dies ist meist WordPress oder ein Plugin/Theme. Hilfreich sind hier WordPress Plugins wie Wordfence. Nach der Installation findet der Scan verdächtige Dateien sowie veraltete oder ungepflegte Plugins.

  • Check der Rechte und Eigentümerschaft auf dem Server. Es sollte keine Dateien oder Verzeichnisse geben, welche dem User runter dem der Webserver läuft gehören (www-data). Rechte müssen rigeros sein r+w nur für Eigentümer, im Ausnahmefall für die Gruppe, 777 never!

Wann das geklärt ist kommt die eigentliche Arbeit. Die Webverzeichnisse müssen nach suspekten Files gescannt werden. Hier hat sich folgendes Tool bewährt:

https://github.com/scr34m/php-malware-scanner

Die Liste muss dann händisch bearbeitet werden. Am Auffälligsten sind Dateien mit den Strings eval und GLOBAL.

Wie mache ich mir das leben als Admin einfacher.

  • regelmäßig updaten zb mit infinitewp
  • Sicherheitsplugins installieren wie Wordfence
  • Sicherheitsscans regelmäßig durchführen und auswerten

ein gutes Tool ist hier wpscan ,  welches man gegen eine Liste von Domains laufen lässt und das dann alle sichtbaren Probleme aufzeigt.

  • Alle unbenutzten Plugins und Themes löschen (nicht nur deaktivieren)

 

 

 

 

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close