Wordpress Installationen werden ständig gehackt

  • Hallo zusammen,


    bislang wird jede Wordpress Instanz, welche ich mit dem Anwendungs-Tool installiert, verseucht.

    Ich war stets auf der Suche, welches Plugin das sein könnte, oder andere Sicherheitslücken.


    Bis ich mir relativ sicher war, dass es an der Netcup-Wordpress-Installation liegen muss.


    Folgender Fall:


    Ich habe vier Webseiten direkt installiert, alle wurde regelmäßig gehackt (xzy.php oder xyz.ico Dateien).

    Eine weitere Webseite hatte ich jahrelang auf einem anderen Server installiert. Keine Probleme, bis ich diese zu Netcup umgezogen habe.

    Dies mit einer frischen Wordpress-Instanz!


    Bei meinem vorherigen Hoster, habe ich weiterhin Wordpress Projekte am laufen, ohne Probleme.

    Im Netcup-Hosting sind alle "verseucht" und ich bin mindestens einmal die Woche dabei diese wieder zu säubern.


    Viele Grüße

  • Naja Wordpress ist nunmal eine Remote Shell mit Kommentarfunktion. xD


    Wenn diese wirklich frisch installiert ist, welche Plugins sind aktiv? Welche Version wird ausgerollt?


    Vielleicht ist es ja auch einfach ein Plugin von "dir" welches das immer wieder möglich macht, oder auch indirekt über Sicherheitsprobleme von deinem PC aus. Und diese manuell zu säubern ist auch sehr schwierig, wie kannst du da wirklich sicher sein? mdb5sum der Files? Datenbank?


    Du müßtest hier schon etwas konkreter werden.

  • Eine Pluginliste wäre wirklich hilfreich. Des Weiteren: lass mal WPScan über deine Website laufen. Wenn du kein Linux zur Verfügung hast gibts auch ein WPScan Online-Tool.

  • Hallo zusammen,


    WordfenceScan läuft auf allen Seiten und meldet täglich eine andere Webseite die gehackt wurde.

    Heute wieder:

    • File appears to be malicious: csl5qm3k.php Type: File
    • Issue Found 18. September 2019 2:29 Critical

    Die Seite habe ich erst vor 3 Tagen umgezogen und wurde gleich gehackt.

    Jede Seite hat andere Plugins die stets aktuell sind.


    Ich werde die Passwörter heute nochmal ändern.


    Danke und Grüße

  • Darf man fragen wie lang deine Passwörter sind und ob die eventuell im Wörterbuch zu finden sind?


    Ansonsten klingt die von Felix erwähne Ursache ebenfalls sehr plausibel.

    ChestSort: Automatische Kistensortierung in Minecraft - www.chestsort.de


    www.raucher-werden.de - www.serioese-alternative.de - www.jeff-media.de

  • Zumindest würde ich mal deinen PC gründlich scannen lassen. Wenn da entsprechende Schadsoftware sich installiert hat, dann greift die deine gesetzten Passwörter ab und dann ist es klar, dass die Wordpress-Installationen sehr schnell wieder gehackt sind. Einen Schutz gegen Login mit Username und Passwort gibts da nicht? Zwei-Faktor Authentifizierung?

  • Ist das vom Scan gefundene PHP File im Upload Ordner?

    Per htaccess liesse sich der Zugriff darauf einschränken (ich dachte, das wär Standard - ich hab nginx und dort eine Rule gegen PHP Files im Upload)

    CentOS 7 / nginx / php-fpm / postfix / rspamd / clamav / dovecot / nextcloud running on RS 1000 SSDx4 G8 / VPS 500 G8 / VPS 2000 G8 Plus

  • Darf man fragen wie lang deine Passwörter sind und ob die eventuell im Wörterbuch zu finden sind?


    Ansonsten klingt die von Felix erwähne Ursache ebenfalls sehr plausibel.

    Hi,


    nee, sind "stark" bis "sehr stark".

    Ich bekomme von Wordpfence auch eine Nachricht sollte sich jemand damit einloggen.

  • Neuester Fund:


    Seite A:

    wp-admin/css/colors/light/wcdpjvmy.php


    Seite B (direkt im Root der Installation)


    • Filename: 2mxv5eai.php
    • File Type: Not a core, theme, or plugin file from wordpress.org.
    • Details: This file appears to be installed or modified by a hacker to perform malicious activity. If you know about this file you can choose to ignore it to exclude it from future scans. The matched text in this file is: $xuhccy[] = $hpcmw[10].$hpcmw[24].$hpcmw[30].$hpcmw[30].$hpcmw[28].$hpcmw[7].$hpcmw[11].$hpcmw[21].$hpcmw[6].$hpcmw[10].$hpcmw[23].$hpcmw[31].$hpcmw[30].$hpcmw[6].$hpcmw[30].$hpcmw[5].$hpcmw[24].$hpcm...

      The issue type is: Suspicious:PHP/strfromsubstr.5682
  • Wie schon ich in der ersten Antwort schrieb, sowie auch viele weitere, es wird von deinem PC direkt ausgehen, bis der nicht gesäubert ist kannst du das Rad ewig neu drehen, bitte kümmere dich erstmal darum sonst macht alles hier keinen Sinn.

  • Wie schon ich in der ersten Antwort schrieb, sowie auch viele weitere, es wird von deinem PC direkt ausgehen, bis der nicht gesäubert ist kannst du das Rad ewig neu drehen, bitte kümmere dich erstmal darum sonst macht alles hier keinen Sinn.

    Ich arbeite kaum auf meinem PC. Meist direkt auf dem Server. Ich bearbeite die Dateien direkt aus meinem Editor (Atom Editor).

    Wenn, werden höchstens nur ZIP Files hochgeladen.


    Außerdem hätte ich ja dann auf meinen anderen Servern das selbe Problem.

    Das tritt NUR auf diesem Server auf.

  • Ich werde dennoch die Root-Zugangsdaten ändern.

    Das reicht aber nicht.


    Du solltest mal von einem anderen PC aus (Freunde, Bekannte, nicht von welchen die sich im gleichen Haushalt befinden) sämtliche Passwörter ändern. Oder du installierst ein frisches Betriebssystem auf einer nicht benötigten Festplatte.


    - Passwörter von WordPress-Benutzern

    - Sämtliche FTP-Passwörter

    - Passwörter aller MySQL Datenbanken

    - Passwörter vom CCP WCP etc.


    Und ab dahin nicht mehr von deinem PC aus auf die jeweiligen Daten zugreifen. So kannst du prüfen ob dein PC kompromittiert wurde oder nicht.


    Zudem muss deine kompromittiert Wordpress Instanz komplett neu aufgesetzt werden. Mit einem Backup (Dateien und oder Datenbank) kann dies nicht sichergestellt werden.

  • Alle Kennwörter ändern, wenn das ein RS/VPS ist auch über MFA nachdenken. Dann eine manuelle Installation ohne Backup nur mit Wordpfence durchführen. Dann die Seite neu aufbauen. Vorher auch einmal das lokale System überprüfen ggf. mal eine Neuinstallation dürchführen.