Habt ihr auch einen WordPress Blog oder eine Website, die in den letzten Tagen nicht geladen hat? Habt ihr auf einmal neue User im Backend oder wird eure Seite umgeleitet zu irgendeiner komischen URL?
Das Problem könnt ihr ganz einfach selbst lösen, auch wenn ihr (wie ich) keine Web-Developer-Geeks seid.
Bei mir hat die ganze Sache damit angefangen, dass ich jemandem meinen Blog zeigen wollte, ihm gestern in der Mittagspause im Büro einen Link geschickt habe und er nur meinte: „Das lädt wohl nicht.“ Inklusive Screenshot einer weißen Seite. Suuuper. Ich versinke nicht nur in Uni-Arbeit (sitze in der Bibliothek, während ich das hier tippe), sondern bin auch sonst dezent im Stress (außerdem habe ich gerade eine Laufmasche in meiner Strumpfhose entdeckt, diese blöden Stühle in der Bibliothek!!), und dann auch noch das.
Habe mir nicht so viele Sorgen gemacht und gedacht, dass das schon wieder wird und ich mich einfach nächste Woche in Ruhe darum kümmere. Pah. Heute Morgen wollte ich mich (nur mal schnell) ins Backend einloggen und habe festgestellt, dass das nicht möglich war. SUPER.
URL umgeleitet auf erealitatea[dot]net
So. Erstmal eine Diagnose. Oder die Symptome. (Gibt es da einen Unterschied? Bin auch kein Medizinstudent.)
Bei mir war es, wie schon erwähnt, nicht mehr möglich, die Website aufzurufen. Diyrona.com hat einfach nicht geladen, und nach einer Weile konnte man sehen, dass das Ganze umgeleitet wurde auf eine dubiose Domain, nämlich erealitatea[dot]net. (Nicht auf diese Seite gehen, ist klar, oder?)
Ich konnte außerdem meinen Zugang zum Backend nicht erreichen geschweige denn mich einloggen.
Neue User t2trollhertenor oder t3trollherten
Bei meiner Recherche zu dem ganzen Chaos habe ich gelesen, dass einige wohl auch das Problem haben, das neue User mit den obigen Namen erstellt wurden, natürlich mit Administrator-Status und allem Drum und Dran.
Zum Glück ist mir das nicht passiert. Schaut aber auf jeden Fall bei euren Benutzern nach (im WordPress-Backend), checkt auch in eurer root-Datei nach Malware und entfernt alles, was da nicht hingehört.
Das WP GDPR Compliance Plugin ist schuld
Mittlerweile weiß man, dass die Probleme alle mit einer Sicherheitslücke in einem beliebten WordPress-Plugin zusammenhängen: dem WP GDPR Compliance. Am 7. November wurde eine neue Version des Plugins veröffentlicht und anscheinend haben Hacker direkt danach angefangen, ältere Version zu attackieren. Also sofort updaten!
Dafür sollte man allerdings in sein Backend reinkommen, ne?
URL-Umleitung rückgängig machen
Glücklicherweise ist es relativ einfach, das Problem mit der URL zu lösen.
Wühlt euch durch eure Datenbank, bis ihr „xx_options“ findet („xx“ ist in dem Fall das jeweilige Präfix, das in eurer Datenbank verwendet wird). Den Eindringling findet ihr im „option_value“-Feld bei „option_name“. Ändert einfach die verdammte Hacker-URL in eure eigene und schon könnt ihr wieder auf eure Seite – und das Backend! – zugreifen.
Wirklich das ganze Chaos beseitigen!
Sobald ihr jetzt wieder auf euer WordPress-Dashboard kommt, müsst ihr unbedingt das WP GDPR Compliance Plugin updaten.
Checkt außerdem die User, wie ich oben ja schon einmal erwähnt habe.
Außerdem solltet ihr eure Datenbank doch noch einmal unter die Lupe nehmen und fehlerhafte .php-Files finden. In diesem Artikel gibt es weitere Infos dazu.
Was ich aus dieser Sicherheitslücke gelernt habe
Ich hätte nie gedacht, dass irgendjemand meinen winzigen Blog hacken wird beziehungsweise dass ein so beliebtes und häufig genutztes Plugin so eine krasse Sicherheitslücke aufweist. Tja. Ich bin wohl naiver, als ich es eh schon dachte. Achtet darauf, dass eure Plugins immer auf dem neuesten Stand sind, sage ich da nur!
Jetzt ist der Tag schon halb vorbei, ich habe nichts für die Uni fertig bekommen, die Bücherei schließt und ich muss wirklich heim und eine Strumpfhose ohne Laufmaschen anziehen. Oder anders gesagt: Der ganz normale Wahnsinn geht weiter und ich hoffe, ihr habt ein tolles (und Hacker-freies) Wochenende!