WP 6.x Seite wird erst nach scrollen korrekt dargestellt

Deine Seite ist gehackt - ich erhalte eine Virus Warnung.

Bitte deaktiviere den Link zu deiner Seite...

 

Das geht nur bis zu 30 Minuten nach Erstellung eines Beitrages .......
..... und der Admin, lange nichts gelesen von ihm ....

 

Um auch mal noch etwas produktiveres dazu zu sagen:
@ErnstGA:
Deine Webseite scheint, wie schon gesagt, gehackt worden zu sein. Du solltest möglichst sofort die Webseite offline nehmen und damit zum Einen deine Besucher vor möglichen Angriffen schützen, zum Anderen auch deine eigene Domain vor einem Blacklisting bei externen Dienstleistern schützen damit sie überhaupt noch verwendbar ist in Zukunft. Um die Seite offline zu nehmen solltest Du in deinem Hostingbereich entweder die Domain umswitchen oder direkt alle Dateien löschen die in deinem Hosting liegen. Bei beidem kann dir der Support deines Hosters helfen, falls Du es nicht selbst kannst.

Bitte achte darauf wirklich alles zu löschen. Alles - Dateien wie auch Datenbank - sind als korrumpiert zu betrachten und sollten in keinster Form mehr verwendet werden.

Danach könntest Du eine Sicherung verwenden um sie wiederherzustellen. Solltest Du keine Sicherung vorliegen haben, wende dich an den Support deines Hosters - viele machen in regelmäßigen Abständen Sicherungen der Webseiten die bei ihnen liegen. Sollte eine Sicherung vorliegen, spiele diese ein. Danach solltest Du unbedingt jegliche Komponenten (Plugins, Theme, Wordpress ..) auf den aktuellsten Stand bringen und ggfs. auch ein Sicherheitsplugin installieren (Stichworte: WordFence, iThemeSecurity). Solltest Du keinerlei Sicherung haben, musst Du die Webseite komplett neu einrichten.

Hier noch ein ausführlicherer Artikel dazu:
https://wordpress.org/documentation/article/faq-my-site-was-hacked/

Und hier noch einige Infos dazu wie Du deine neue Webseite unbedingt absichern solltest:
https://wordpress.org/documentation/article/hardening-wordpress/

 

o.k.

Es bestand aber die Möglichkeit, dass man zumindest die Webseite mit dem Schadecode eben offline nimmt

Punkt 1 der Handlungsempfehlungen für Web-Verantwortliche

8<-
Website offline nehmen und Hoster kontaktieren
Nehmen Sie Website vom Netz (temporarily offline) mit einem entsprechenden Hinweis. Sämtliche Verbindungen zum verseuchten Inhalt sollte unterbunden werden. Informieren Sie dann unbedingt Ihren Hoster, damit dieser geeignete Maßnahmen ergreifen kann.
8<--

 

Denk auch an deinen Rechner. Da dein Virenprogramm dich nicht vorher gewarnt hat, besteht die Möglichkeit, dass dein Rechner verseucht ist.

Hast du auch die Sicherheitslücke gefunden und geschlossen?

 

Ein aktiver Hack kann sich problemlos vor Plugins wie Wordfence verstecken oder diese unterlaufen.

Alles auf dem Server inkl. Datenbank ist weiterhin als kompromitiert zu betrachten.

Das nachträgliche Entfernen einzelner Schadcodes oder Auswirkungen ist nicht ausreichend. Es können auch mehrere Hacks erfolgt sein, ggf. auch zu anderen Zeitpunkten.

Im Customizer im Eigenen CSS ist weiterhin "verwürfelter" eval Script Code versteckt, unklar ob/was den dort liest/ausführt.

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Das Plugin OceanWP Sticky Header 1.0.8 ist stark veraltet und wird im Plugin Repository seit über 2 Jahren nicht mehr gepflegt.

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Das Plugin Modern Events Calendar Lite 6.5.2 ist stark veraltet und die inzwischen etwas aktuellere Version 6.5.6 seit über einem Jahr im Plugin Repository gesperrt:

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Das allgemeine Vorgehen bei einem Hack ist z.B. hier beschrieben, das könntest Du mit jemandem mit WordPress Erfahrung bei Dir im näheren Umfeld zusammen durchgehen. Jeden einzelnen Punkt.

 

Dein Problem ist ja gelöst.

 

heimatverein-nieukerk.de - SiteCheck (sucuri.net) findet auf der Seite weiterhin Malware. Den Link zu der Seite nicht besuchen.

 

Nein, das Problem ist nicht gelöst.

Das steht auch zwei Postings weiter oben bereits klar und deutlich da:

Kann man selbst auch ganz einfach mit Seitenquelltext anzeigen in jedem Browser sehen...

 

var f=String;eval(f.fromCharCode(102,xxx,xxx,99,[...],41,59,xxx,xxx));/*99586587347*/
Was soll an dieser Code Zeile jetzt Klar und deutlich sein?

ähm.... Du kannst dir gerne die Seite ansurfen und dir den Quellcode ansehen. Wirklich. Mach dies ruhig... ich würde auf die IDEE nie kommen!

Zur Erinnerung: Der TE hat ein Scroll Problem geschildert. Beim Besuch der Seite hat mein Virenscanner mich vor der Seite gewarnt.
Sorry, aber ich werde so eine SEITE nicht anklicken, sondern prüfe mit https://sitecheck.sucuri.net/
wenn überhaupt.

Sucuri stuft die Seite Critical Security Risk ein. Ob die Seite neu gehackt wurde oder ob das 2 Monate Backup bereits den Schadecode enthät können wir nicht einschätzen.

Damit da keiner aus Versehen draufklickt und sich den Quellcode anschaut - habe ich den Scrennshot hier geteilt - dein rumlabern über Plugins und var f=String;eval(f.fromCharCode(102,xxx,xxx,99,[...],41,59,xxx,xxx));/*99586587347*/ ist weder klar noch deutlich. Sondern unterirdisch [Schimpfwort BITTE selber einfügen]

Du rufst ja auch noch zum Quellcode anschauen auf...

und ja ich bereue zutriefst, dass ich auf einen möglichen Schadcode in einer Seite hingewiesen habe. Wirklich. Werde ich in diesem FORUM NIE WIDER MACHEN. NIE!

 

Manchmal kann man nur noch den Kopf schütteln bei solchen Antworten.. nun gut, hat vielleicht irgendeine tolle KI so ausgegeben oder es sind irgendwelche Substanzen im Spiel o.ä., nur nicht selbst denken..

Die genannte gekürzte eval(...) Code Zeile ist der Schadcode.

Quellcode anschauen kann man völlig gefahrlos z.B. über wget oder auch in jedem normalen Browser:

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!