Vor ein paar Tagen wurde ich angeheuert, um eine gehackte WordPress-Seite zu bereinigen, die von dem Sicherheitsproblem im WP GDPR Compliance Plugin betroffen war.
Der Angreifer hat einen neuen Admin-Benutzer erstellt und einige Dateien in WordPress geändert bzw. hochgeladen. Aus diesem Grund habe ich mich entschieden, die komplette WordPress-Instanz zu löschen, eine neue hochzuladen und die Plugins von Grund auf neu zu installieren.

Zu meiner Überraschung tauchte zwei Tage später ein anderer Admin-Benutzer auf und wieder wurde die WordPress-Instanz kompromittiert.
Ich habe die Logdateien des Webservers analysiert, konnte aber nicht den Einstiegspunkt finden, den der Angreifer hätte verwenden können. Die installierten Plugins waren alle auf dem neuesten Stand und es gab nur vier davon.

Am Ende war der Angriffspunkt so einfach wie möglich. Während des ersten Angriffs änderte der Eindringling die WordPress-Einstellungen, um die Besucher auf eine andere Domain umzuleiten (Optionen "siteurl" und "home"). Aber er hat auch zwei Einstellungen geändert, die auf den ersten Blick nicht so offensichtlich sind, wenn man es nicht erwartet.

Unter "Einstellungen" -> "Allgemein" hat der Angreifer das bisher nicht aktivierte Kästchen "Mitgliedschaft: Jeder kann sich registrieren" angekreuzt. Das ist kein Problem. Ich habe dies auch auf einigen Seiten aktiv. Aber der Angreifer hat auch die "New User Default Role" in "Administrator" geändert. Von diesem Zeitpunkt an erhielt jeder, der ein Konto auf der Website registriert hat, sofort Administratorrechte.

Wenn Sie also gehackt wurden, überprüfen Sie bitte immer sehr sorgfältig die WordPress-Einstellungen!

WordPress-Einstellungen einer gehackten Webseite auf schädliche Änderungen überprüfen