Seit Anfang November 2019 sind wieder vermehrt Angriffe auf WordPress festzustellen.
Missbraucht wird hierbei die Datei „adminer.php“. Hierbei handelt es sich nicht um eine Datei die zu WordPress gehört, sondern um ein Tool mit dem man auf Datenbanken zugreifen kann. Dieses Tool kann hilfreich sein, wenn man damit Änderungen in der Datenbank vornehmen möchte, eine Sicherung (Dump) der Datenbank erstellen oder einspielen möchte. Leider bietet es somit auch Angreifern mit entsprechenden Kenntnissen die Möglichkeit die Datenbank von WordPress zu manipulieren.
Aktuell werden Änderungen in der Weiterleitung vorgenommen, die dann dazu führen, dass Aufrufe der eigenen Seite weitergeleitet werden.
Die Datei befindet sich bei manchen schon seit Jahren in dem Verzeichnis, wurde aber jetzt aktuell seit Anfang November 2019 ausgenutzt. Daher besteht hier dringend Handlungsbedarf.
Wenn Ihre WordPress-Seite von dem Schadcode noch nicht betroffen ist, dann löschen Sie umgehend die Datei „adminer.php“, die sich in den meisten Fällen im Wurzelverzeichnis von WordPress (/html/wordpress) befindet. In der Regel wurde die Datei von Ihnen selbst oder Ihrem Entwickler dort abgelegt. Es ist aber auch denkbar, dass die Angreifer andere Sicherheitslücken nutzen um diese Datei in Ihrem Verzeichnis zu speichern.
Prüfen Sie daher unbedingt ob sich die Datei „adminer.php“ in Ihrem Verzeichnis befindet und löschen Sie diese!
Wenn Ihre Seite bereits betroffen ist, können Sie nur hoffen noch ein Backup zu haben, welches vor dem Angriff erstellt wurde. Spielen Sie diese Sicherung ein und bereinigen Sie im Anschluss Ihre Anwendung:
- Datei „adminer.php“ löschen
- Schadcodeanalyse der Seite durchführen (lassen)
- WordPress, Themes und Plugins auf einen aktuellen Stand bringen
- Passwort des Datenbankbenutzer ändern (und in wp-config.php anpassen)
- Passwörter zumindest von allen administrativen Backendbenutzern ändern
Vorbeugung:
Einen 100%igen Schutz wird es vermutlich nie geben. Sie können daher immer nur bestmöglich absichern.
Dazu gehört unter anderem ein immer aktuelles WordPress einschließlich aller Erweiterungen (Themes, Plugins) um bekannte Sicherheitslücken zu schließen.
Nicht benötigte Erweiterungen sollten zur Reduzierung des Sicherheitsrisiko gelöscht werden (inaktive Erweiterungen sind physikalisch noch immer vorhanden und können ausgenutzt werden). Zudem sollte über die Konfigurationsdatei des Webserver (.htaccess) diverse Sperren eingerichtet werden.
Für eine permanente Aktualisierung empfehlen wir unseren Update-Service WPtomatic
mit zusätzlichen Spezialschutz der Verzeichnisse vor Fremdzugriff.
Weitere Informationen zur Absicherung von WordPress finden Sie in unserem Blogbeitrag:
WordPress – aber sicher!