Website kompromittiert, was nun?

Thomebau

Active member
Registriert
1 Apr. 2010
Beiträge
10.749
Hi,
Gerade eben habe ich festgestellt dass meine Website anscheinend irgendwie kompromittiert wurde:
hack..PNG

Da der Beitrag am 20.01. erstellt wurde habe ich die Backups vom 17.01. eingespielt und das Passwort von Wordpress und Clef geändert, sowie Wordpress und alle Plugins aktualisiert. Gibt es sonst noch was was ich tun sollte?

Jetzt sind zwar zwei Beiträge weg, aber was solls...

EDIT: Datenbankpasswort hab ich auch noch geändert
 
Zuletzt bearbeitet:
Das hast du dir schon vor diesem Datum einfangen können. Schon vor nem Jahr...
Wichtig ist, alle Dateien auf Schadcode zu überprüfen.
Am Sichersten ist aber alles zu löschen und neu zu machen.
 
Uff, wie soll ich das denn bitte machen?
Ich denke wenn da noch was drin ist wird sich das doch sicher innerhalb weniger Tage zeigen oder?
 
---> https://www.heise.de/security/meldu...hmen-zu-und-werden-gefaehrlicher-3624301.html

REST-API muss in 4.7 und 4.71 für nicht eingeloggte Nutzer deaktiviert werden durch Einfügen in die functions.php

Code:
// Returning an authentication error if a user who is not logged in tries to query the REST API
add_filter( 'rest_authentication_errors', function( $access ) {   
if( ! is_user_logged_in() ) {      
return new WP_Error( 'rest_API_cannot_access', __( 'Only authenticated users can access the REST API.', 'disable-json-api' ), array( 'status' => rest_authorization_required_code() ) );   
}return $access; 
});
 
Danke für den Hinweis, so wie ich das sehe hat sich das mit 4.7.2 erledigt, richtig?
Kommentare sind ohnehin deaktiviert, von daher sollte mir keiner PHP Code unterschieben können (wenn nicht an anderer Stelle möglich).
 
Hast Du am Server mal clamav drüber laufen lassen? Vll. findet auch Wordfence noch was?
 
Das mit Clamav wird nix, ist nicht mein Server, Wordfence probiere ich mal.
Hmmm, wordface wirft lauter Fehlermeldungen weil die deutschen Versionen der Kommentare der Konfigurationsdatei nicht mit den englischen übereinstimmen :facepalm:
Ansonsten scheint aber alles sauber zu sein.
 
Zuletzt bearbeitet:
Wordpress war mal ein sehr stabiles System, mit dem man arbeiten konnte. In der Version 4.6.3 wurde plötzlich klammheimlich eine neue PHP-Version angefordert, so dass nicht geupgedatete Server nach dem Update beim Start der Homepage eine Fehlermeldung auswarfen. Hätte man nicht machen müssen, hätte man auch abwärtskompatibel halten können, aber da war schon klar, dass irgendein übereifriger Entwickler kaltschnäuzig Müll programmiert hatte und die WordPress-User schikanieren wollte.

In der Version 4.7 wurde plötzlich eine Rest-API eingeführt, über die nicht angemeldete Benutzer PHP-Code auf das System schleusen konnten, außerdem gab es zwei neue PlugIns, die das auch konnten. Nie zuvor hatte jemand das Prinzip verletzt, dass fremde User unter keinen Umständen Programmcode auf einer WordPress-Seite hinterlassen konnten, was ja die Grundvoraussetzung eines CMS ist. Entweder ist WordPress von der Konkurrenz unterwandert worden, oder sie haben ihr System mit den automatischen Aktualisierungen nicht im Griff. Mich erinnert das an den Update-Wahn von WINDOWS und die darauf folgenden Fehler, die man mühselig beseitigen musste, obwohl der Sinn eines Updates ja eigentlich erhöhte Sicherheit und Verbesserungen bedeutet.

In der Version 4.7.2 soll der Fehler mit der REST-API behoben sein.
 
@think_pad:
Hast Du dafür eine Quelle?

Es wurden zudem auch in PHP selbst in der Vergangenheit zahlreiche Sicherheitslücken aufgedeckt, die genauso als Einfallstor hätten herhalten können.
Dazu kommt natürlich auch die Frage nach der eingesetzten PHP-Version.
 
@think_pad: Hast Du dafür eine Quelle?
Ja, eine eigene Website, die diese Fehlermeldung plötzlich auswarf, ich musste das System von Hand patchen.
Diesem REST-API-Fehler entkam letztlich nur der, der nicht (!) updatete.

Es wurden zudem auch in PHP selbst in der Vergangenheit zahlreiche Sicherheitslücken aufgedeckt, die genauso als Einfallstor hätten herhalten können. Dazu kommt natürlich auch die Frage nach der eingesetzten PHP-Version.

Das ist wahr, es muss dann aber auch so kommuniziert werden: "WordPress Update x.x verlangt PHP-Version y.y, und wenn sie diese auf dem Fremdserver nicht stellen können, updaten sie entweder nicht oder tun folgendes: ..."

Man kann nicht im Zwei-Wochen-Takt Updates bereitstellen, und die User, (die ja oft Autoren, und keine Informatiker sind), dann mit den Problemen allein lassen. Da hat sich schon etwas verändert...
 
Zuletzt bearbeitet:
Achtung: OFFTOPIC!

[offtopic]

Wordpress war mal ein sehr stabiles System, mit dem man arbeiten konnte. In der Version 4.6.3 wurde plötzlich klammheimlich eine neue PHP-Version angefordert, so dass nicht geupgedatete Server nach dem Update beim Start der Homepage eine Fehlermeldung auswarfen. Hätte man nicht machen müssen, hätte man auch abwärtskompatibel halten können, aber da war schon klar, dass irgendein übereifriger Entwickler kaltschnäuzig Müll programmiert hatte und die WordPress-User schikanieren wollte.

"klammheimlich". Also .. echt. Sorry, aber: Unfug. Das war nicht klammheimlich, sondern schon seit mehreren Jahren (!) im Gespräch (bzw. von allen Seiten gefordert, aber die Herrschaften des Core-Teams kamen nie in die Pötte).
Abwärtskompatibel war das seit Ewigkeiten, ab irgendeinem Zeitpunkt wollte man aber - verständlicherweise - die völlig überalteten und inzwischen auch nicht mal mehr mit Sicherheitsupdates unterstützten PHP-Versionen ausschließen. AFAIR sollte das sogar schon in der 4.6 direkt eingeführt werden.

Wo ich dir allerdings völlig recht gebe: Das hätte nicht in einem Minor Point-Release passieren dürfen. Sowas ist ja ein "API Breaking"-Feature; die Core-Entwickler (Mehrzahl - nicht "irgendein übereifriger Entwickler") haben sich aber noch nie großartig um die sinnvolle Einhaltung von Standards geschert.

In letzter Zeit ruht man sich da sehr aus, und wenn dann so Mist wie PHP-seitige Vulnerabilities + Co. kommen, laufen sie panisch herum wie die Hühner, und treffen solche unsinnigen Entscheidungen :(

Zur REST-API: Auch die kam nicht plötzlich, sondern wurde seit über einem Jahr als Feature-Plugin vorbereitet. Und auch überall angekündigt, dass das in einem künftigen Release Einzug halten wird. Tatsächlich wollte man das wohl schon wesentlich früher direkt im Core einführen, was aber noch rechtzeitig von ein paar besonneneren Core-Entwicklern verhindert werden konnte. AFAIR hatte "der Chef", Matt Mullenweg, ganz zum Schluß auch mal drüber geguckt, und war der Meinung, dass das noch viel unausgereift sei. Ergo Feature-Plugin. Die man generell im Auge behalten sollte, damit man weiß, was womöglich auf einen demnächst an Grausamkeiten zukommt ;)

Wir empfehlen dann einfach mal, öfters bei relevanten Medien mitzulesen, etwa WP Tavern oder dem Entwicklerblog (das normale Blog aka "Newsbereich" tut's allerdings auch schon). Dann ist auch nichts mehr überraschend. Besonders nicht als Entwickler ;)

[/offtopic]

- - - Beitrag zusammengeführt - - -

Ja, eine eigene Website, die diese Fehlermeldung plötzlich auswarf, ich musste das System von Hand patchen.
Diesem REST-API-Fehler entkam letztlich nur der, der nicht (!) updatete.

Das ist wahr, es muss dann aber auch so kommuniziert werden: "WordPress Update x.x verlangt PHP-Version y.y, und wenn sie diese auf dem Fremdserver nicht stellen können, updaten sie entweder nicht oder tun folgendes: ..."

Man kann nicht im Zwei-Wochen-Takt Updates bereitstellen, und die User, (die ja oft Autoren, und keine Informatiker sind), dann mit den Problemen allein lassen. Da hat sich schon etwas verändert...

Das Problem kannst du mit der Deaktivierung der Auto-Updates umgehen. Natürlich nur, wenn du dann die Website anschließend nicht einem Kunden übergeben musst, der dich nie wieder sieht. Solange du also selber administrierst - Auto-Updates aus, keine Sauereien dieser Art mehr ;)

Dass sich das Core-Entwicklerteam nicht um die Belange des einfachen Volks schert, ist allerdings nichts Neues. Guck dir die heftigen Diskussionen auf WP Tavern an - sei es zu dem unseeligen Ding namens Theme Customizer, den bereits angesprochenen Auto Updates, der REST-API, dem Unfug namens XML-RPC dauerhaft an, Accessibility-Entscheidungen von nicht-Betroffenen (bzw. die mit einer Agenda, die am lautesten schreien und andere trollen), aktuell das Thema "was machen mit verwaisten / aus dem Plugin Repository entfernten Plugins" usw. usf.

Das stößt alles sehr sauer auf; Mitspracherecht für die Leute, die das Zeug nachher benutzen dürfen, ist sehr begrenzt bzw. wird interpretiert, wie es einem geräde gefällt.

Denke schon seit Jahren drüber nach, ob man den Mist nicht bei Gelegenheit mal forkt. WP selbst ist ja ursprünglich auch nur ein Fork von b2/cafelog gewesen. ..
.. andererseits haben das einige ja schon versucht, und sind gescheitert.



cu, w0lf.
 
Zuletzt bearbeitet:
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben