Webseite gehackt durch Sicherheitslücke im WPGDPR Compliance Plugin

Seit zwei Wochen kenne ich mich um einiges besser mit meiner WordPress Installation aus, was allerdings nicht ganz freiwillig passiert ist.
Gerade aus dem Herbsturlaub zurück, schrieb mich eine Bloggerin an, dass mein Blog irgendwie komisch aussieht. Schock, was war da passiert? Keine Bilder mehr zu sehen und der ganze Text vollkommen verschoben, als wenn kein Design mehr vorhanden wäre. Als ich mich versuchte, in mein WordPress Dashboard anzumelden, funktionierte das Passwort nicht mehr. Hätte ja sein können, dass ich es im Urlaub vergessen habe, aber auch ein Zurücksetzen wurde vom System verweigert.

Mit einem selbst gehosteten WordPress Blog blieb mir nur noch das Login zum Server, um dann festzustellen, dass meine Seiten-URL auf eine andere Seite umgeleitet wurde. Überall stand nun

.…..pastebin.com/raw/V8SVyu2P? anstelle von bergblumengarten

und das ließ sich nirgends ändern.

Irgendwann war mir also klar, die Seite kann nur gehackt worden sein. Dazu findet man zum Glück reichlich Anleitungen auf diversen Blogs, was dann zu tun ist.

Überprüfen kann man seine Seite u.a. mit folgendem Check auf Malware

https://sitecheck.sucuri.net

Bei mir zeigte der Balken komplett Rot an, was nicht schlimmer sein kann.

Viel kann man leider nicht machen, wenn man über den Server versucht, den Blog zu bearbeiten. Es funktionierte zwar, die Plugins alle zu deaktivieren, aber ohne Erfolg. Das ursprüngliche Theme, mein Twenty Seventeen, ließ sich nicht mehr aktivieren und schien irgendwie blockiert. Ich konnte zum Glück ein neues Theme zu installieren und der Blog sah erstmal wieder gut aus. Alle übrige Probleme blieben.

Natürlich wäre nun das einfachste gewesen, ein Backup zurückzuspielen, aber wenn man vergessen hat, ein aktuelles zu machen, fällt das erstmal weg….ich habe dann allerdings später eins vom Hoster erhalten. Leider kostenpflichtig.

Das erneute googeln nach der falschen URL-Weiterleitung auf meinem Blog brachte die Lösung.
Wer keine Probleme mit englischen Texten hat:

Teil 1: Hack corrupts Websites with WP GDPR Compliance Plugin Vulnerability

Teil 2: Hackers change WordPress site url to pastebin

Es handelte sich bei dem Hack um eine Sicherheitslücke im WP GDPR Compliance Plugin (Version 1.4.2.), das mit über 100 000 aktiven Installationen für das Einhalten der DSGVO sorgt.

Durch meinen Urlaub hatte ich das Plugin nicht rechtzeitig auf die aktuelle Version ( 1.4.3.) aktualisieren können und so haben irgendwelche Robots meine Seite als Angriffsfläche für einen Site URL-Hack genutzt.

Als nächstes hab ich mich zum ersten mal in meine Datenbanken des Hosters (phpMyAdmin) verirrt und dort das Admin-Passwort geändert und in den WP_options die URL widerhergestellt.

WordPress-Passwort in der Datenbank ändern

https://wp-bibel.de/tutorial/site-url-und-home-url-der-wordpress-webseite-aendern/

Anschließend folgte die Suche nach dem Schadcode in der Datenbank.

https://www.webmaster-zentrale.de/technik/phpmyadmin-suchen-und-ersetzen/

Über die Suchen-Option bin ich endlich an zwei Stellen fündig geworden. Unglaublich, was da alles an Code stand. Natürlich sofort alles gelöscht.

Damit verschwand die Umleitung auf die falsche URL und alles war wieder in Ordnung. Nur mit dem Login klappte es noch nicht perfekt. Ich konnte mich zwar wieder auf dem Blog anmelden, aber nicht als Administrator. Das Dashboard blieb weiterhin gesperrt.

Nun half mir das WordPress.org-Forum. Kann ich jedem nur empfehlen, der mit seinem Blog Probleme hat.
Mit dieser Anleitung erstellt man sich einen neuen Benutzer mit Administratorrechten.Vielen dank an @pixolin.

https://de.godaddy.com/help/erstellen-sie-eine-neuen-wordpress-admin-benutzer-in-der-datenbank-27023

Inzwischen habe ich sogar das Backup vom Hoster und könnte alles wieder auf den Ursprungszustand setzen. Im Moment ist mir aber mehr nach Veränderung.
Das WP GDPR Compliance Plugin hat leider mein Vertrauen verloren. Die letzten Bewertungen waren allesamt negativ von Leuten, die gehackt worden sind. Dafür fällt für die Kommentare das Häkchen setzen wieder weg. Pflicht ist das ja auf keinen Fall und Blogger-Blogs haben das sowieso nicht.

Nach einem Hack empfiehlt es sich, die Plugins alle neu zu installieren, was ich weitestgehend erledigt habe. Im Moment ist das Jetpack noch weg und ich bin daher nicht sicher, ob die E-Mail-Follower noch erreicht werden.

Fazit: Was hab ich aus dem ganzen mitgenommen?

Plugins immer rechtzeitig updaten

Nicht benutzte Plugins unbedingt löschen

Plugins, die schon ewig kein Update hatten, möglichst nicht installieren

Regelmäßige Backups machen (geht auch per Plugin, wie Updraft Plus, All-in-One-Migration, BackWPub)

Sicherheit-Plugin installieren, um Angreifer abzuhalten (ich hab jetzt Wordfence)

Für gehackte Webseiten hier eine Anleitung von @pixolin

oder

https://www.drweb.de/wordpress-gehackt-das-musst-du-jetzt-tun-66532/

Der Blog wird demnächst noch besser gestaltet, aber fürs erste hab ich genug von WordPress.

Der Bericht ist etwas länger, aber er soll mir auch helfen, falls mir (oder euch) ähnliches nochmal passieren sollte. Ich hoffe natürlich sehr, dass es nicht nochmal passiert…;-)

Daher handelt es sich bei den Verlinkungen nicht um Werbung, sondern um Erfahrungsberichte, die typisch für Blogger sind.

14 Kommentare bei „Webseite gehackt durch Sicherheitslücke im WPGDPR Compliance Plugin“

  1. autsch..

    das war ja ein Schock
    mit all dem was du da beschreibst würde ich mich überhaupt nicht auskennen
    da bin ich froh über Blogger 😉
    ich galube das ist weniger kompliziert
    ich hoffe dass du alles wieder so hinbekommst wie du das möchtest

    liebe Grüße
    Rosi

  2. Oh weh… Im Moment bin ich immer noch recht zufrieden mit dem WP. Allerdings habe ich eine Freundin an der Seite, die sich sehr gut mit dem Computern auskennt. Die würde mit dem Besen durch die Innereien meines WP fegen. Allerdings hat sie wohl auch irgendeine Sicherung bei mir angebracht.
    Ich hoffe, du bekommst das wieder hin.
    Lieben Gruß
    Andrea

  3. Hallo Sigrun,
    das scheint ja mehrere Blogs getroffen zu haben. Sehr ärgerlich und zeitraubend.
    Gut, dass du dich so reingefuchst hast und es wieder läuft.
    VG
    Elke

  4. Liebe Sigrun,
    bei mir gab es ein ähnliches Problem vor ca. 2 Wochen. Auch ich konnte meine Seite nicht mehr aufrufen, es erschien eine gänzlich andere Seite. Leider bin ich nicht so bewandert wie du und habe mir Unterstützung von einem Fachmann beholt. Der erklärte mir, dass mein Block gehackt wurde, ein Plugin hatte eine Sicherheitslücke. Danach gab es das gleiche Problem mit den Fotos, wozu er den Proweider angeschrieben hat, der dann erklärte was weiter gemacht werden mußte. Alle Achtung, dass du es selbst beheben konntest.
    Ich alleine hätte es nicht geschafft.
    Liebe Grüße
    Agnes

  5. Hallo Sigrun,
    das ist ein großer Schock, wenn der Blog gehackt wurde….wie gut, dass du nach intensiver Recherche alles wieder hinbekommen hast. Mir ist es vor Jahren – wie vielen anderen auch – passiert und ich habe erst davon erfahren, nachdem ich meinen Blog mal geg**gelt hatte. Schön, dass es hier bei dir jetzt weitergeht.
    Einen netten Abend – lieben Gruß, Marita

  6. Huch Sigrun,
    ja, er hat ein wenig komisch ausgesehen und ich kenne mich hier gar nicht aus.
    Allerdings schaue ich im Moment auch nach einer Alternative, weil Googel plus ja auch eingestellt wird und dann wird ja auch bei Blogger das Licht ausgehen, denn dann gibt es wohl die Funktionen nicht mehr.
    Vielleicht ändert sich da auch noch etwas.

    Alles Gute und ich sende dir einen lieben Gruß Eva

  7. So etwas brauchst wirklich kein Mensch! Ich hatte besagtes Plugin auch…
    Von einer anderen gehackten Bloggerin habe ich gehört, dass bei ihr die Aktualisierung auch nichts gebracht hat. Daraufhin habe ich ein anderes Plugin gespeichert. Die Anpassung war allerdings auch ein wenig verzwickt… aber jetzt klappt es! Ich hoffe, dass bei Dir jetzt wieder alles im grünen Bereich ist!
    Viele Grüße von Margit

  8. Liebe Sigrun,
    ach Du je…. so ein Sch****! Da ist ja die Urlaubserholung auch gleich auf Null gesetzt, oder? Aber wo ich das so lese – ich denke ich werde heute Abend mal meinen WP-Account zur Brust nehmen. Ich drück die Daumen dass bei Dir schnellstmöglich wieder alles beim Alten ist..
    VG,
    Krümel

  9. Hallo Sigrun,
    da rutscht Einem aber schlagartig das Herz in die Hose, oder? Ich habe das Plugin auch installiert in Version 1.4.3.. Hm, mal schauen, ob ich es raushaue? Deinen Beitrag speichere ich mir mal für den Fall des Falles. Bei mir wird einmal wöchentlich automatisch ein Backup erstellt.
    Ich hoffe, Du hast jetzt alles glatt gezogen, toi toi toi.
    Liebe Grüße
    Karen

  10. OMG!! ich wäre hoffnungslos überfordert, wenn mir sowas passieren würde!! was du da alles angestellt hast – davon verstehe ich kaum ein wort.
    wir gut, dass du dich ganz gut auskennst und gute hilfe hattest!!
    liebe grüße
    mano

  11. Oje, so etwas ist wirklich besch… . Ich hatte einmal damit zu kämpfen, dass mein gesamter Blog gespiegelt wurde und unter anderem Namen im Netz wieder auftauchte. Aber das hier ist ja noch blöder, weil Du den Zugriff darauf verloren hast. Wirklich großer Mist. Ich drücke Dir die Daumen, dass Du wirklich alles wieder in den Griff bekommst.

    LG Kathrin

  12. au weia!
    …kann mich noch an die lobeshymnen auf wordpress und die verachtung für blogger erinnern….
    merke: alle kochen nur mit wasser.
    😀
    xxxx

  13. Was für eine Geschichte!
    Bin ja froh, dass Du es hingekriegt hast, liebe Sigrun!
    Da hätte ich, glaube ich, passen müssen. So fit bin ich nicht – mehr – im Englischen und habe auch nicht so die Geduld, die per Online-übersetzer übersetzten Seiten nachzubearbeiten, daher sind mir deutsche Anleitungen am liebsten.

    Oh Mann … was für ein Aufwand! Da bin ich ja froh, dass ich noch keinen WordPress-Blog genommen hatte. D.h. ich habe wohl WordPress-Blogs, aber mit anderen Themen, die ich selten bestücke. . . . Betraf das jetzt eigentlich auch die freien Blogs? Aber da kann man ja keine PlugIns zusätzlich einsetzen …

    Ich hatte ja diese komischen Symbole auch bei anderen Blogs in der Sidebar gesehen. Ob die noch existieren, weiß ich jetzt nicht, habe mir nicht gemerkt, um welche Blogs es ging, da zu der Zeit so viel anderes war, als dass ich mich darum kümmern konnte …

    Liebe Grüße
    Sara

  14. Liebe Sigrun – oh mei! Ich bin allein schon von deinen Schilderungen überfordert – wie schlimm würde es mir da erst in deiner Situation gehen… Hoffentlich ist jetzt alles wieder gut und du legst bald wieder in alter Frische mit dem Bloggen los und empfindest auch wieder Spaß daran! Ich drück dir auf jeden Fall fest die Daumen!!!

    Neulich habe ich übrigens wieder einmal deine Namensschwester getroffen… Falls du in meinem aktuellen Posting über die Mannersdorfer Wüste liest und dich dabei auf einen der älteren Beiträge zu diesem Ort klickst – nämlich auf diesen hier: https://rostrose.blogspot.com/2018/11/familien-ausflug-mit-alten-fotos.html – kannst du meine „Tante“ Sigrun kennenlernen 🙂
    Liebe Grüße, angenehmes Wochenende und komm gut in den Dezember
    Traude
    https://rostrose.blogspot.com/2018/11/alpakas-in-der-wuste.html

Schreibe einen Kommentar