Fremde Seiten im Backend

Was meinst Du mit "Beiträgen" genau? Geht es tatsächlich um Beiträge oder meinst Du andere Einträge? Sind diese auch öffentlich zu sehen, wenn ja wo?

Ich sehe du hast eine extrem alte Wordpress-Version mit 4.9.20. Was ist der Grund wieso du dort bleibst?
Sind alle von dir genutzten Plugins auf dem aktuellstens Stand? Hast Du auch mal kontrolliert, ob die von dir genutzten Plugins überhaupt noch vom Hersteller mit Updates versorgt werden? Wenn nicht könnten diese veralteten Plugins ein Einfallstor für Angreifer sein.

 

• Welche genauen Seiten und/oder Beiträge wurden dort erstellt? Von welchem WordPress Benutzer? Screenshots?
  
• Mehrere "Sicherheits" Plugins mit ähnlicher Zielrichtung gleichzeitig zu betreiben, funktioniert oft nicht, da sie sich in die Quere kommen können.

Tipp am Rande: Über die WordPress Suche mit "login" findet man bei Dir eine Login Seite, die aber derzeit nicht funktioniert ist, da das ProfilePress Plugin offenbar inaktiv ist.

 

Seite gehackt, Login Daten bekannt gegeben oder so?

 

Dieser Beitrag wurde von einem Nutzer namens "tanne" erstellt. Das ist aktuell der einzige Nutzer neben dem Admin "cv_schrauber". Hast Du von dem auch die Zugangsdaten mal geändert? Soll es ihn überhaupt geben?

Ggfs. wäre es auch sinnvoll die Logfiles zu prüfen zu den Zeiten wo solche Beiträge gepostet werden. Dadurch solltest Du das Einfallstor entdecken können.

Übrigens kommt beim Aufruf der Seite immer eine Passwort-Abfrage, weil du den /wp-admin/-Bereich offenbar damit schützt und auch das Frontend einige URLs von dort lädt.

 

Und wenn du die XML rpc Schnittstelle nicht nutzt, solltest du diese auch deaktivieren https://www.webgo.de/hilfe/content/83/105/de/wie-deaktiviere-ich-die-xml_rpc_schnittstelle-in-wordpress.html

Ich vermute mal am ehesten dort den Einfall, oder durch ein unsichere Plugin. Check die apache2 logs, dann hast schnell Anhaltspunkte

 

Indem Du den zusätzlichen Zugriffschutz für den Adminbereich entfernst, wie auch immer Du den gesetzt hast.

Wie von @Michi91 geschrieben die xmlrpc-Schnittstelle einschränken. Schau dir den o.g. Link dazu an. Geht übrigens auch mit diesem Plugin: https://wordpress.org/plugins/disable-xml-rpc/ - und auch mit zahlreichen Sicherheitsplugins wie iThemeSecurity und WordFence.

 

Die Seite ist aktuell gehackt. Ganz zu Beginn des HTML Quelltextes wird ein bösartiges JavaScript (Virustotal.com) eingebunden, das den Login belauscht und dann ggf. auch z.B. auf andere Seiten weiterleitet:

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Ganz am Ende des HTML Quelltextes werden Spam Links eingefügt:

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Von weiterem Befall an anderen Stellen ist auszugehen.

Das allgemeine Vorgehen bei einem Hack ist z.B. hier beschrieben, das könntest Du mit jemandem mit WordPress Erfahrung bei Dir im näheren Umfeld zusammen durchgehen.

Dabei am Wichtigsten wäre, die für den Hack genutzte(n) Lücke(n) zu ermitteln, damit das nicht wieder passiert.

 

Wordpress, Themes und (wenige) Plugins aktuell halten, hat bei mir seit Jahrzehnten gereicht.

 

Es gibt richtiges Managed WordPress. Da kümmern sich Profis um dein WordPress, damit genau sowas nicht passiert.

Kostet nur ein paar Euros mehr als das klassiche Webhosting.

IONOS, Strato und Co. bieten zwar auch ein Produkt "Managed WordPress" an, dies ist allerdings nur Marketing. Da ist nichts managed.

 

1. Am Wichtigsten wäre es, zunächst anhand der aktuell verseuchten Dateien, Datenbank und Server-Logs die für den/die Hack(s) genutzte(n) Lücke(n) zu ermitteln, damit das nicht wieder passiert.
2. Danach kann man entweder zusammen mit jemandem mit WordPress Erfahrung, die über das Installieren von "Sicherheits-Plugins" und dem Anklicken von Updates hinaus geht, die aktuelle Installation bereinigen oder unter Berücksichtigung der Erkenntnisse aus 1., also dem Weglassen von Theme, Plugins, externe Einbindungen, wasauchimmer die Lücke war, die Seite mit einem frischen WordPress neu aufbauen und die alten Beiträge/Seiten manuell direkt aus der Datenbank auslesen und unter eingehender Prüfung der Inhalte in die neue Seite einpflegen. Erneutes Aufrufen oder Einloggen in die alte gehackte Seite darf dabei nicht mehr möglich sein.

Siehe auch allgemeines Vorgehen bei einem Hack oben verlinkt.

 

Ein gehacktes Wordpress solltest Du gar nicht erst versuchen zu bereinigen. Du weißt nie wo sich überall etwas eingenistet hat, auch weißt Du nicht wo das Einfallstor war und wer aktuell überhaupt noch Kontrolle über die Webseite hat. Wer seine Webseite gehackt vorfindet sollte diese sofort abschalten und löschen. Wer das nicht macht gefährdet potentielle Besucher der Webseite was sich im schlimmsten Fall auch rechtlich negativ auswirken kann. Anschließend kann man ein Backup verwenden um sie wiederherzustellen und die wiederhergestellte Webseite mit allen ausstehenden Updates versorgen und die Sicherheit erhöhen. Ist kein Backup vorhanden bleibt nur eine Neuinstallation übrig.

Erst danach sollte man sich an eine Analyse wagen was passiert ist um eine Wiederholung davon zu verhindern. Dieser Schritt darf einfach nie der erste Schritt sein.

All das hättest Du seit deiner Feststellung gestern bereits vornehmen können. Je länger du zögerst umso mehr gefährdest Du die Besucher deiner Webseite, u.a. auch jeden der deinen Link hier aufruft.

 

Jemand mit entsprechender WordPress Erfahrung kann selbstverständlich herausfinden, was sich wo eingenistet hat. Die Fähigkeit, Veränderungen gleichwelcher Art herausfinden zu können, wird jederzeit für jeden Website benötigt. Das ist eine elementare Grundlage.

Oft werden für Hacks Lücken in Themes/Plugins genutzt, für die es keine ausstehenden Updates (mehr) gibt. Nur weil keine Updates angezeigt werden, heisst das nicht, dass man ein aktuelles und sicheres System betreibt, das ist ein weit verbreiteter Trugschluss. Daher ist eine eingehende Analyse nötig. Alles andere ist halbherzig und nicht seriös.

Und natürlich ist die aktuelle Seite bei Bekanntwerden eines Hacks sofort abzuschalten: