Hacked By XwoLfTn – WordPress Blogs gehackt

Heute waren Beiträge auf meinem Blog plötzlich verschwunden und stattdessen stand dort „Hacked By XwoLfTn – Tunisian Hacker“ als Titel. Der Permalink war allerdings noch der alte, aber Titel und Beitragsinhalt waren verschwunden. Ziemlich ärgerlich, da es ein gerade erst veröffentlichter Artikel war und ich noch kein Backup erstellt hatte. Der Inhalt ist also verloren und ich muss ihn neu verfassen.

Bei einer Google Suche war zu „Hacked By XwoLfTn“ dann auch einiges zu finden. Allerdings kein hilfreicher Beitrag in dem man Informationen dazu finden konnte sondern nur zahlreiche Blogs die offensichtlich ebenfalls von diesem Hack betroffen waren.

Auffällig war, dass es scheinbar immer WordPress Blogs betraf und das Problem wohl mit dem CMS WordPress zu tun hat. Vor wenigen Tagen (26.01.2017) hatte das Entwicklerteam von WordPress das Sicherheitsupdate WordPress 4.7.2 veröffentlicht und auf hoch kritische Sicherheitslücken hingewiesen die durch das Update behoben werden. Die hochkritische Sicherheitslücke betrifft die seit der WP 4.7.0 integrierte REST-API.

WordPress empfielt Sicherheitsupdates immer zeitnah zu installieren. Dies hatte ich bei dem betroffenen Blog übersehen und das Update umgehend nachgeholt. Zusätzlich habe ich alle Zugangsdaten geändert und hoffe nun das es keine Probleme mehr geben wird und kein „Hacked By XwoLfTn“ oder sonstige unerklärliche Dinge passieren werden.

Folgende Sicherheitslücken waren betroffen:

  1. Das User-Interface für das Hinzufügen von Taxonomien in „Press This“ wird Benutzern mit fehlender Berechtigung angezeigt. Die Schwachstelle hat David Herrera von Alley Interactive gemeldet.
  2. WP_Query ist für eine SQL Injection (SQLi) anfällig im Fall von ungesicherten Daten. Der WordPress Core ist nicht direkt von dieser  Schwachstelle betroffen, aber das Entwicklungs-Team hat das verstärkt abgesichert, um zu verhindern, dass Plugins oder Themes dadurch angegriffen werden. Diese Schwachstelle wurde von Mo Jangda (batmoo) gemeldet.
  3. Eine Cross-Site-Scripting-Lücke (XSS) wurde in der Datenbank-Tabelle Posts List entdeckt, gemeldet von Ian Dunn des WordPress Security Teams. (Quelle: WordPress.org)

Die Sicherheitslücke bezüglich der REST-API wurde bei der Quelle allerdings noch nicht aufgeführt, da diese vermutlich erst später erkannt wurde.

Was kann man dagegen tun?

In jedem Fall sollte man umgehend das Sicherheitsupdate WordPress 4.7.2 installieren und seine Zugangsdaten (FTP, MySQL, Masterpasswort Hoster) ändern.

Ein Download aller Dateien mit anschließendem Virenscan brachte keine Bedrohungen zum Vorschein. Grundsätzlich wird empfohlen alle PHP Dateien der WordPress Installation zu ersetzen. Ich habe jetzt zuerst mal Wordfence verwendet um zu prüfen, ob bei dem Hack Änderungen an den WordPress-Core Dateien vorgenommen wurden. Das Plugin brachte keine Probleme zum Vorschein. Dennoch habe ich alle Dateien der Ordner wp-admin, wp-include und die aus dem WordPress Root neu hochgeladen.

Das Theme habe ich durch ein älteres Backup ersetzt und hoffe es war zu dieser Zeit noch nicht betroffen.

Vorsorge für die Zukunft

Zusätzlich habe ich mir für die Zukunft das WordPress Plugin Project SECURITY zugelegt. Das Plugin bietet unter anderem SQLi-, Mass Requests-, Spam-, Proxy-, Malicious Files-, Tor-Schutz für WordPress Blogs. Was noch alles geboten wird kann ich hier nicht alles auflisten 😉

Ausführliche WordPress Empfehlungen was man nach einen WordPress Hack tun sollte gibts bei WordPress.org

Was hast Du gemacht? Freue mich über hilfreiche Tipps und Informationen zu diesem Problem!

Weitere Hacks:

Nicht alle WordPress Nutzer bekommen „Hacked By XwoLfTn“ angezeigt. Es kann also durchaus sein, dass in Deinem Fall ein anderes „Hacked by…“ angezeigt wird. Hier ein paar weitere uns bekannte Titel:

Hacked By SA3D HaCk3D
Hacked by NG689Skw
Hacked By GeNErAL
Hacked By TheWayEnd
Hacked By MuhmadEmad
Hacked By RxR HaCkEr
Hacked By AyazCoder
Hacked By TheWayEnd
Hacked by TheZero
Hacked By Imam
Hacked By BALA SNIPER
HACKED BY BYREQZ


Weitere Meldungen

Hinterlasse hier Deine Erfahrung

1 Erfahrungen & Meinungen
Inline Feedbacks
Zeige alle Kommentare
ERFAHRUNGSBERICHTE
Logo
ERFAHRUNGSBERICHTE
Logo