Gestern Abend erhielten wir eine E-Mail von einem Freund, in der er sagte, er habe auf einigen seiner WordPress-Websites einige neue Benutzer mit Administratorrechten gefunden und uns gebeten, es sich anzusehen.
Wir haben mit der Untersuchung begonnen und es scheint, dass die Websites etwas gemeinsam haben – das WP DSGVO Compliance Plugin.
das Plugin eine Sicherheitslücke aufweist und es eine Reihe von Angriffen auf Websites gegeben hat, die dieses Plugin verwenden.
Es gibt verschiedene Stadien der Infektion:
- Es werden Administratorbenutzer erstellt
- Dateien wurden geändert
- Weiterleitung zur russischen Website
Wir empfehlen Ihnen zu prüfen, ob kürzlich neue Benutzer mit dem Namen „ t3trollherten “, „ t2trollherten “ oder „ trollherten “ auf Ihrer Website erschienen sind.
Nach dem Anlegen der Benutzer veränderten Angreifer die Dateien anderer PHP-Skripte (Plugins). Beispielsweise haben wir geänderte PHP-Dateien im Akismet-Plugin-Ordner gefunden.
Auf einigen Websites haben wir diese Pastebin-URL in wp_options unter siteurl gefunden.
https://pastebin.com/raw/V8SVyu2P?An diesem Punkt beginnt die Website zu brechen, es treten Datenbankverbindungsfehler auf oder Ihre Website wird auf eine andere Website umgeleitet, manchmal auf Russisch.
So erholen Sie sich nach dem Hack
Wenn es keine Benutzer gibt, sollte alles in Ordnung sein, Ihre Website wurde wahrscheinlich nicht angegriffen.
Um dies zu verhindern, aktualisieren Sie das WP DSGVO Compliance-Plugin auf die neueste Version. Die Entwickler haben das Problem behoben
Halten Sie im Idealfall alle WordPress-Plugins und Themes auf dem neuesten Stand, um möglichen Sicherheitsproblemen wie diesem vorzubeugen.
Wenn Sie diese Benutzer finden, besteht die Möglichkeit, dass sie die Website nicht infiziert haben, aber Sie können es nicht genau wissen, daher ist es wahrscheinlich am besten, eine Wiederherstellung aus einem Backup durchzuführen und dann das WP DSGVO Compliance-Plugin zu aktualisieren.
Wenn Sie über ein Sicherheits-Plugin wie Defender Pro verfügen, scannen Sie außerdem Ihre WordPress-Instanz, um festzustellen, ob sie sauber ist.
Wenn Sie die Wiederherstellung nicht durchführen können oder kein Backup haben, müssen Sie die Website manuell bereinigen:
- Löschen Sie die böswilligen Benutzer aus der Datenbank
- alle PHP- und JS-Dateien löschen (nur wp-content/uploads behalten)
- Installieren Sie WordPress und die von Ihnen verwendeten Themes und Plugins neu
Wenn Sie diese Situationen vermeiden möchten, sollten Sie den Wechsel von Shared Hosting zu einem professionellen WordPress-Hosting in Betracht ziehen. Keiner unserer verwalteten WordPress-Hosting- Kunden war betroffen, alle betroffenen Websites befanden sich im Shared Hosting.
Das liegt nicht am Hosting, aber beim Managed Hosting erhalten Sie proaktive Überwachung, verwaltete Updates und können solche Situationen vermeiden.
Als wir erkannten, was vor sich ging, aktualisierten wir sofort das Plugin auf den Websites unserer Kunden, auf denen die anfällige Version installiert war, und führten einen automatischen Scan durch.
Wir haben auch Kunden, die bei uns hosten, aber wir verwalten ihre Websites nicht und haben keinen Zugriff auf ihre WordPress-Instanzen.
Also durchsuchen wir den Server nach dem Ordner „wp-gdpr-compliance“, um die Clients zu identifizieren, die das Plugin verwendet haben. Wir haben sie per E-Mail über die Sicherheitslücke informiert und Anweisungen dazu gegeben, wie sie überprüfen können, ob ihre Websites gehackt wurden.
Wenn auch Sie Hilfe benötigen, zögern Sie nicht, Kontakt mit uns aufzunehmen.
Hinterlasse eine Antwort.