Vorgestern hat es mich erwischt und gleich drei Seiten von mir wurden gehacked. Dabei hat der Angreifer sich selbständig einen Administrator Account mit dem Namen „ t2trollherten " angelegt. Über diesen wurden die WordPressinstallationen dann manipuliert und auf andere „Spam-Webseiten" umgeleitet. Einigen Ärger und unnötige Neuinstallationen waren die Folge.

Über Heise habe ich heute erfahren, es lag offenbar gar nicht an meinem vermeintlich zu schwachen Account Passwort, sondern die Angreifer haben eine Lücke im mittlerweile sehr verbreiteten „WP GDPR Compliance" Plugin ausgenutzt. Diese Lücke ist bis Version 1.4.2 wohl aktiv, sollte mit einem Update auf 1.4.3 aber geschlossen sein.

Eine komplette Neuinstallation der Webseite empfiehlt sich allerdings dennoch, denn der Angriff legt auch neue Dateien an, sogenannte Webshells mit dem Namen „wp-cache.php".

Es zeigt sich mal wieder, bei Plugins kann man leider nicht vorsichtig genug sein...