WordPress-Gefährdung: Spam-Inhalte

Wir haben eine Gefährdung für einige WordPress-Sites festgestellt. Dadurch können sich Angreifer Zugriff auf eine WordPress-Administratoranmeldung verschaffen und Dateien in das dazugehörige Hosting-Konto hochladen. Mithilfe dieser Dateien werden dann Spam-Inhalte in das WordPress-Thema und/oder in die Datenbank eingeschleust und so verborgene Links zu betrügerischen Sites erzeugt.

Weitere Informationen zu Gefährdungen sowie zum Umgang mit ihnen finden Sie unter Was, wenn meine Website gehackt wurde?.

Anzeichen für eine Gefährdung

Da diese Gefährdung verborgene Links erstellt, ist sie auf Ihrer Site unsichtbar. Ob Ihre Site betroffen ist, können Sie am besten anhand des Quellcodes Ihrer Homepage feststellen. Um den Besuch Ihrer infizierten Homepage zu vermeiden, empfehlen wir, mit Google® Chrome oder Firefox® die URL view-source:http://[Ihr Domainname] aufzurufen.

In diesem Fenster können Sie Ihren Quellcode auf gängige Online-Betrügereien wie Werbung für Medikamente oder Überbrückungskredite überprüfen. Hier sind einige Suchvorschläge:

  • „payday“ bzw. „Überbrückung“
  • „Pharma“
  • „Viagra“
  • „Cialis“

Abhilfe

Solche Inhalte können Sie am einfachsten entfernen, indem Sie eine nicht betroffene Inhalts- und Datenbanksicherung Ihrer Website wiederherstellen.

Sollten Sie über keine Sicherung verfügen, von der Sie wissen, dass sie nicht betroffen ist, können Sie die Inhalte auch manuell entfernen. Inhalte dieser Art finden Sie meistens entweder im Header des WordPress-Themas oder in Ihrer WordPress-Datenbank.

Bearbeiten Ihres Themas

Ihr WordPress-Thema können Sie direkt über die WordPress-Administratorsystemsteuerung aufrufen und bearbeiten. Wenn Sie über eine Sicherung Ihres Themas verfügen, können Sie es über das WordPress-Menü Darstellung einfach erneut installieren.

Andernfalls können Sie direkt den Code Ihrer Dateien anzeigen. Wie Sie Ihre Dateien über WordPress bearbeiten, erfahren Sie in der Dokumentation von WordPress.org (hier).

Von dort aus können Sie die gefundenen Links entfernen.

Bereinigen Ihrer Datenbank

Wenn Angreifer bösartige Links in Ihre Datenbank einschleusen, werden diese zur Verschleierung üblicherweise rückwärts angegeben (also beispielsweise „knil“ anstelle von „link“). Danach können Sie Ihre Datenbank durchsuchen.

Bevor Sie etwas an Ihrer Datenbank ändern, sollten Sie eine Sicherung erstellen (weitere Informationen).

Sie können Ihre Datenbanktabellen manuell über das Suchregister Ihrer phpMyAdmin-Schnittstelle durchsuchen (weitere Informationen).

Alternativ können Sie über das SQL-Register in phpMyAdmin die folgende Datenbankabfrage ausführen:

SELECT *
FROM `wp_options`
WHERE option_value LIKE '%>vid/<%'

Diese Abfrage wählt alles aus der Tabelle „wp_options“ aus, was eine umgekehrte Div-HTML-Markierung enthält. Die Ergebnisse sehen in etwa wie folgt aus:

Abfrageergebnisse

Sie können sich Details zu den Inhalten ansehen, indem Sie auf das Stiftsymbol klicken. Daraufhin werden die Zeileninhalte größer dargestellt. Hier können Sie die Inhalte direkt bearbeiten und den böswilligen Text entfernen. Klicken Sie anschließend auf Go back to the previous page (Zurück zur vorherigen Seite), um die Änderungen zu speichern. Sollte Ihnen der gesamte Inhalt bösartig vorkommen, klicken Sie auf Go back to the previous page (Zurück zur vorherigen Seite) und anschließend auf das rote X-Symbol, um den Eintrag zu entfernen.

Ergebnisdetails

Weitere gefährdete Dateien

Nach der Bereinigung Ihres Themas und/oder Ihrer Datenbank sollten Sie die Gültigkeit der Dateien in Ihrem Hosting-Konto überprüfen. Diese Gefährdung hängt in der Regel mit mehreren Dateien zusammen:

  • ./html/wp-admin/includes/class-wp-locale.php
  • ./html/wp-admin/admin-media.php
  • ./html/wp-content/themes/twentyten/entry-meta.php
  • ./html/wp-content/themes/twentyten/sidebar-funcs.php
  • ./html/wp-includes/theme-compat/content.php
  • ./html/wp-includes/default-option.php

Die Namen machen möglicherweise einen gültigen Eindruck, die Dateien sind aber unter Umständen nicht legitim. Um zu prüfen, welche Dateien legitim sind, können Sie sich ihren Code ansehen oder das Änderungsdatum mit dem anderer Dateien im gleichen Verzeichnis vergleichen.

Wir empfehlen, alle Dateien, die Ihnen bösartig vorkommen, zu entfernen oder umzubenennen (und somit zu deaktivieren).

Technische Informationen

Codebeispiel

MD5-Summen bekannter bösartiger Dateien

  • dc1cd95ca7dcd00630a208024f89a5e1
  • 6e986fc5328ce3e3b1a36a3025704403
  • 0f183af9a1ed11124655a90b2fff54ac
  • 51377655c4d0b9db67a21b83f99dae4e
  • 51bb25bfbb0db6eb5359a9bc8567f4e6
  • f99b5bfd95336099a4adc436070d5cdd

War dieser Artikel hilfreich?
Vielen Dank für deine Vorschläge. Um mit einem Mitarbeiter unsere Kundenservice zu sprechen, nutze bitte die Telefonnummer des Support oder die Chat-Option oben.
Gern geschehen! Können wir sonst noch etwas für Sie tun?
Tut uns leid. Teile uns mit, was unklar war, und warum diese Lösung nicht zur Behebung des Problems geführt hat.