WordPress gehackt mit Umleitung

,
WordPress Sicherheit / Updates

Viele aktuelle WordPress-Hacks, die ich sehe, leiten alle Besucher auf eine fremde Domain um. Diese „Malware-Weiterleitungen“ oder „Spam-Weiterleitung“ werden verwendet, um Werbung an alle Besucher Ihrer Website zu senden.

Update: 03.08.2024. Balada Injector Hacker sind wieder verstärkt unterwegs, und viele Webseiten werden derzeit angegriffen. Oft ist Litespeed Cache schuld, dieses ist zu deaktivieren und dann alle Backdoors zu entfernen.

Update: 18.08.2023. Es gibt noch immer viele Angriffe mit Umleitungen – hauptsächlich wegen der gleichen Probleme mit unsicheren Plugins und fehlende Updates wie vor Monaten!

In ein paar Stunden können wir ihre Website wieder sauber und sicher machen, falls Sie auch betroffen sind!

In diesem Artikel wird untersucht, wie diese Umleitung erfolgt und welche Abweichungen möglich sind. Da die Weiterleitungen nicht immer bei jedem Besuch auftreten (und häufig absichtlich vor Administratoren verborgen sind!), bleibt diese Art von Hack möglicherweise lange Zeit unentdeckt.

Eines ist sicher:
Es müssen dringend Abhilfe-Maßnahmen ergriffen werden, damit

  • keine Besucher auf der eigenen Website verloren gehen und
  • Ihre Kunden nicht angegriffen werden.

Wenn Sie keine Zeit verlieren möchten, kontaktieren Sie mich einfach für sofortige Hilfe um €145 Fixed-preis.

Domainnamen, die aktiv in WordPress-Weiterleitungen verwendet werden

egocoattell.live

redfiretobind.com

bluefiretobind.com

rdntocdns.com

taskscompletedlists.com

recordsbluemountain.com

roselinetoday.com

bluelitetoday.com

redselectorpage.com

blueselectorpage.com

greenstepcherry.com

bluestepcherry.com

greenfastline.com

specialcraftbox.com

decentralappps.com

linestoget.com

stratosbody.com

quartzquester.top

viqtorywins.com

clickandanalytics.com

predictivdisplay.com

firstblackphase.com

sortyellowapples.com

descriptionscripts.com

scriptsplatform.com

cdn.statisticline.com

desirebluestock.com

actraffic.com

importraffic.com

trackersline.com

violetlovelines.com

specialblueitems.com

weatherpillatform.com

admarketlocation.com

travelfornamewalking.ga

transandfiestas.ga

helpmart.ga

jQueryNS.com

legendarytable.com

greengoplatform.com

transportgoline.com

drakefollow.com

confirmacionsb.com

classicpartnerships.com

specialadves.com

lovegreenpencils.ga

linetoadsactive.com

secondaryinformtrand.com

donatelloflowfirstly.ga

hostingcloud.racing

lowerthenskyactive.ga

lowerbeforwarden.ml

polimer.xyz

deliverygoodstrategies.com

gabriellalovecats.com

watch-video.net

bnmjjwinf292.com

name0fbestway.com

declarebusinessgroup.ga

sinistermousemove.art

url-partners.g2afse.com

buyittraffic.com

cuttraffic.com

puttraffic.com

importtraffic.com

decimalprovehour5.live

trendopportunityfollow.ga

examhome.net

saskmade.net

stat.trackstatisticsss.com

sferverification.com

poponclick.info

train.developfirstline.com

letsmakeparty3.ga

beforwardplay.com

belaterbewasthere.com

waterflowpick24.live

2.8mono.biz

dontstopthismusics.com

lobbydesires.com

blackentertainments.com

fox.trackstatisticsss.com

graizoah.com

asoulrox.com

ofgogoatan.com

stivenfernando.com

fast.destinyfernandi.com

trackstatisticsss.com

check.resolutiondestin.com

dest.collectfasttracks.com

digestcolect.com

verybeatifulantony.com

gotosecond2.com

forwardmytraffic.com

crazytds.club

WordPress Sicherheit / UpdatesWordPress-Spam-Weiterleitungen – Verstecke für die Malware

Grundsätzlich können automatische Weiterleitungen in jede vom WordPress-System geladene Datei eingefügt werden.
Darüber hinaus gibt es auch häufige Skriptinjektionen direkt in die Datenbank.
Es gibt verschiedene Verstecke für Spam-Weiterleitungen, die ich in den letzten Monaten gesehen habe:

  • Javascript-Injektionen in PHP-Dateien (insbesondere in Theme- und Plugin-Dateien)
  • Javascript-Dateien, die am Anfang aller JS-Dateien auf dem Server eingefügt werden
  • Skriptinjektionen in Seiten und Artikeln (wp-posts Datenbanktabelle)
  • Die URL der Website (wie in der Datenbanktabelle wp-options festgelegt) wurde in die Hacker-Domain geändert
  • Geänderte .htaccess-Dateien (häufig in vielen Ordnern)
  • Über Werbenetzwerke (gehackte Ad-Server)

Zusätzlich zu den Spam-Weiterleitungen werden immer mehrere Backdoors hinzugefügt, und häufig werden mehrere Administratorbenutzer zu WordPress hinzugefügt, um den Hackern den vollen Zugriff zu ermöglichen, selbst wenn die anfälligen Plugins gepatcht wurden.

Liste anfälliger Plugins

Die überwiegende Mehrheit dieser Angriffe zielt auf Sicherheitslücken ab, die vor Monaten oder sogar Jahren behoben wurden. Wenn Sie eines dieser Plugins auf Ihrer Website installiert haben, stellen Sie sicher, dass Sie das neueste sichere Update verwenden!

  • Elementor Pro
  • Duplicator
  • Hybrid Composer
  • Page Builder by SiteOrigin
  • ThemeGrill Demo Importer
  • NicDark plugins
  • Profile Builder
  • WP GDPR Compliance
  • Coming Soon and Maintenance Mode
  • Yellow Pencil Visual Theme Customizer
  • Woocommerce User Email Verification
  • WP Live Chat Support

Wie vermeide ich diese Probleme?

Wie bei den meisten WordPress-Angriffen besteht die Lösung darin, alle Plugins und den WordPress-Kern regelmäßig zu aktualisieren. Stellen Sie außerdem sicher, dass Sie nicht benötigte Plugins entfernen (und nicht nur deaktivieren).

So stellen Sie Ihre Website wieder her, wenn Sie infiziert wurde

Es gibt 2 Möglichkeiten, eine infizierte Website wiederherzustellen: mit einem Backup oder durch Entfernen aller Malware und Backdoors, durch die Hacker sonst immer wieder zurückkommen.

  • Variante 1: Backup einspielen

Da diese Angriffe im Allgemeinen 100 oder sogar 1000 Dateien sowie die Datenbank infizieren, besteht die beste Wiederherstellungsmethode darin, das gesamte WordPress-Verzeichnis zu löschen (stellen Sie sicher, dass Ihre Sicherung in Ordnung ist, bevor Sie dies tun !!) und von einer sauberen Sicherung neu zu installieren. Stellen Sie dann auch Ihre Datenbank aus einer sauberen Sicherung wieder her.

  • Variante 2: Entfernen aller Malware und Backdoors

Wenn dies nicht möglich ist, wenden Sie sich an einen Fachmann. Eigenständige Versuche sind wesentlich zeitintensiver und scheitern oft daran, dass man nicht alle aktuellen Tricks der Hacker kennt und nicht alle Backdoors findet.  Mit den richtigen Tools und Kenntnissen kann die Bereinigung in 2 – 3 Stunden abgeschlossen und Ihre Website wieder online gestellt werden!

Ich kann Ihre Website innerhalb weniger Stunden für nur € 145 (+ Mwst) sauber, sicher und wieder online haben – kontaktieren Sie mich jetzt für sofortige Hilfe!