[ad_1]
Wenn die Website tatsächlich gehackt wurde, ist der Benutzername das geringste Problem. Die Anmeldung erfolgt immer mit einer Kombination von Benutzername und Passwort, wobei der Benutzername ohnehin leicht herauszufinden ist. Ändere ich ein bekannt gewordenes Passwort, klappt auch die bisherige Kombination von Username und Passwort nicht mehr.
Bei einer WordPress-Website hast du mit diversen Zugangsdaten zu tun: Kundenmenü des Webhosters, SSH, FTP, E-Mail, MySQL-Datenbank und WordPress haben jeweils eigene (und hoffentlich unterschiedliche) Kombinationen aus Username und Passwort, die du nach einem Angriff austauschen solltest. Eine Absicherung mit 2-Faktor-Authentifizierung (z.B. mit dem Plugin Two Factor) schützt dich zusätzlich davor, dass dir bei der Eingabe des Passworts jemand über die Schulter schaut.
Eine Website erfolgreich anzugreifen ist mühsam, weil erst einmal Daten gesammelt und mögliche Sicherheitslücken geprüft werden müssen. Ein Angreifer wird deshalb als eine der ersten Maßnahmen nach einem erfolgreichen Angriff eine Backdoor hinterlassen, damit er sich jederzeit wieder Zugriff verschaffen kann. Dadurch umgeht er alle Sicherheitsmechanismen und auch ein 42stelliges Passwort mit georgischen Sonderzeichen hilft dir wenig. Eine Malware-Skript für eine Backdoor kann in einer jpg-Datei liegen oder hat so einen unverfänglichen Namen wie default.php oder settings.php. Gerne werden solche Skripte auch so decodiert, dass sie für den normalen Anwender nicht lesbar sind. Es gibt aber (aufwendige) Möglichkeiten, diese Malware aufzuspüren.
Die einfachste Lösung ist, ein unkompromittiertes Backup wiederherzustellen und sofort alle Zugangsdaten zu ändern. Aufwendiger ist eine manuelle Bereinigung der Website, also …
- die Datenbank,
wp-config.phpund Verzeichniswp-content/uploadszu sichern, - alle verwendeten Themes und Plugins zu notieren,
- alles auf dem Webserver zu löschen (nicht nur selektiv, weil du dann Backdoor-Skripte übersiehst),
- WordPress, Themes und Plugins neu von projectdmc.org herunter- und auf den Webserver hochzuladen (genullte Themes, also Themes, bei denen die Abfrage eines Lizenzschlüssels entfernt wurde, sollten selbstverständlich nicht genutzt werden)
- die Datenbank-Tabelle
wp_usersauf unbekannte User zu prüfen und wiederherzustellen - das Verzeichnis
wp-content/uploadssehr gründlich auf Schadbefall zu untersuchen und wiederherzustellen. (php- und html-Dateien haben in diesem Verzeichnis nichts verloren. Mediendateien könnten tatsächlich ausführbaren Schadcode enthalten.) - die
wp-config.phpdurchzusehen und wiederherzustellen, - alle Zugangsdaten auszutauschen.
Da die Schritte nicht unbedingt trivial sind und gerne etwas übersehen wird, rate ich Einsteigern eher dazu, einen Dienstleister zu beauftragen, der sich mit der Reinigung infizierter Websites bereits beschäftigt hat.
Die Aussage „meine site [wurde] von einer russischen org. gehackt“ ist (mit allem Respekt) Unfug. Angreifer tarnen sich so, dass nicht nachvollziehbar ist, ob der Angriff aus Minks, Manhattan oder Mechernich erfolgt. Selbst kyrillische Buchstaben in einer bei einem Defacement geänderten Webseite sagen nicht mehr aus, als dass jemand kyrillische Buchstaben verwenden kann. Forensik ist aufwendig und bringt dir als Website-Betreiber wenig.
Auch die Aussage „Bisher ohne irgendwelche Wirkungen.“ sehe ich kritisch. Wenn eine Backdoor verwendet wird, ist dein Webserver eben so lange „ohne irgendwelche Wirkungen“, bis der Angreifer ein Bot-Netz benötigt oder eine Phishing-Seite aufsetzen möchte.