Wenn du auf deinem WordPress das Plugin „WP GDPR Compliance“ installierst hast und es in der Version 1.4.2 existiert oder älter, solltest du es umgehend aktualisieren und weitere Maßnahmen ergreifen! Hast du WooCommerce installiert, aktualisier auch das und ergreife ebenfalls weitere Maßnahmen.
Das Plugin „WP GDPR Compliance“ litt in einigen Versionen bis Version 1.4.2 unter einer Schwachstelle, die es Angreifern (Hackern) erlaubte dein WordPress anzugreifen.
Woran du merkst, dass du angegriffen wurdest
Prüfe die Benutzer deiner WordPress-Installation. Die Hacker haben eine Schwachstelle im „WP GDPR Compliance“-Plugin genutzt, um sich darüber einen Benutzer-Account mit Administrator-Rechten anzulegen.
Einige angegriffene User fanden folgende Nutzernamen in ihrer Installation:
- t2trollherten
- t3trollherten
Die E-Mailadresse dieser User war: trollherten@mail.com oder t3trollherten@bk.ru.
Andere Nutzer fanden eine zusätzliche Datei in ihrer WordPress-Installation. Die Datei „wp-cache.php“ tauchte auf einmal im Root-Ordner des WordPress auf.
In anderen Berichten haben die Hacker die WP-Cron-Funktion genutzt, um das Plugin „2MB Autocode“ einzurichten. Über dieses Plugin versuchen sie ebenfalls den Schadcode getarnt als „wp-cache.php“ auf deinen Server zu schmuggeln.
Falls du ein WooCommerce installiert hast, solltest du auch hier alles updaten und auf Angriffe untersuchen. Auch das WooCommerce war in der Vergangenheit angreifbar.
Was du tun solltest, um dein WordPress zu schützen
- Lösch die unbekannten Benutzer („t2trollherten“,“t3trollherten“) sofort.
- Aktualisier das Plugin „WP GDPR Compliance“ auf die neuste Version
- Installier das Plugin Wordfence und lass einen Scan durch dein WordPress laufen, um zu prüfen, ob Dateien oder die Datenbank verändert wurden.
Installier die „NinjaFirewall“ als weitere Sicherheitsstufe. - Installier das Plugin „WPS Hide Login“ um die Loginurl von /wp-admin zu einer komplett neuen zu ändern. (Damit finden Angreifer den Zugang zu deinem WordPress schwerer.)
- Änder dein WordPress-Passwort.
- Überprüfe, ob in deinem WordPress-Root-Ordner die Datei „wp-cache.php“ existiert.
- Überprüfe, ob bei deinem WordPress das „2MB Autocode“ Plugin installiert wurde.
- Erstelle ein Backup deines WordPress.
Weitere Maßnahmen:
Prüfe in den Tagen nach dem Angriff, ob dein WordPress ok ist. Per Scan und in dem den Log von Wordfence oder NinjaFirewall prüft.
Was wollen die WordPress-Angreifer?
Über die Absicht der Angreifer muss gemutmaßt werden. Mit ihrem Hack und den Administratoren-Rechten liegt es nahe, dass sie dein WordPress klauen wollten und eventuell sogar den Server übernehmen wollten.
Auf deinem WordPress und/oder deinem Server würden die Hacker Schadsoftware, Malware oder Spamlinks einrichten.
Ich habe keinen Zugriff zu meiner Seite mehr. Im Postfach fand ich eine Nachricht
t3trollherten hat meinen Passwort geändert und wahrscheinlich mich blockiert. Es ist so traurig. Solange ihr Möglichkeit habt, handelt schnell. Ich bin jetzt fassungslos.
mein-dolcevita.de
E.Guhl
Bitte kontaktieren Sie sofort Ihren Hostinganbieter und Ihren WordPress-Techniker (falls Sie einen haben). Bitte Sie um Rat und Hilfe.
Viele Grüße
Pierre von BedeutungOnline.de
Wir haben genau diesen Benutzer bei uns gefunden unser kompletter Onlineshop ist gehackt wir haben jetzt alles an unsere Techniker weiter gegeben sie konnten es auch beheben das Problem es ist sehr schwer Nachvoll zieh bar in wie weit nicht doch noch irgendwo etwas ist.Ich hätte nicht gedacht das uns so etwas passiert.
Leider hat es meinen Blog deutschland-geliebte-bananenrepublik.de auch erwischt. Kein Zugriff mehr.
Leider hat es auch mich erwischt bowlsnbites.com, was kann ich jetzt machen? ich bin ratlos…
Hallo Tine,
falls du keine Backups deiner Artikel hast, kann dir archive.org helfen. Dort werden viele Webseiten gespeichert.
Viele Grüße
Pierre von BedeutungOnline