one_images_user / admlnlx / adminbackup: Wenn WordPress versteckte Admins anlegt

Manchmal wirkt eine WordPress-Seite nach außen völlig normal - und trotzdem steckt eine Backdoor drin. Ein besonders fieses Muster: Es tauchen Namen wie one_images_user, admlnlx oder adminbackup als neue, unbekannte Admin User auf. Das sind keine „komischen Zufälle“, sondern oft klare Hinweise auf eine Infektion, die sich den Admin-Zugriff dauerhaft sichern will.

Dieser Beitrag ist bewusst keine allgemeine „WordPress gehackt“-Landingpage. Die hast du vielleicht schon. Hier geht es um die Nische: Admin wird angelegt, versteckt, und das Löschen wird sabotiert.

Schneller Selbsttest: Wenn du das siehst, bist du sehr wahrscheinlich betroffen

Selbsttest: Hinweise auf Backdoor-Admins (admlnlx/adminbackup) und Fake-Plugin one_images_user

Typische Indikatoren (IOCs):

  • Unbekannte Benutzer wie admlnlx oder adminbackup (Administratorrolle)
  • Plugin-/Ordnernamen wie one_images_user oder wp_plugin
  • Die Zahl bei „Administratoren“ passt nicht zur sichtbaren Liste
  • Beim Bearbeiten/Löschen kommt „Invalid user ID
  • Ein Plugin existiert auf dem Server, taucht im Backend aber nicht (oder nicht zuverlässig) auf

Wenn dir mindestens ein Punkt bekannt vorkommt: nicht warten. Solche Backdoors bleiben sonst gern „still“ - bis sie wieder aktiv werden.

Was steckt hinter one_images_user?

one_images_user klingt nach einem normalen Plugin. Genau das ist der Trick: Solche Schadpakete sind oft so benannt, dass sie bei einem schnellen Blick „harmlos“ wirken.

Typisches Verhalten solcher Fake-Plugins
  • Es wird ein Admin-User angelegt (z. B. admlnlx)
  • Dieser User wird in der Benutzerübersicht ausgeblendet
  • Löschversuche werden blockiert (Fehler wie „Invalid user ID“)
  • Eine ID/Option wird in der Datenbank abgelegt, damit die Tarnung dauerhaft funktioniert

Warum admlnlx und adminbackup so kritisch sind

Diese Namen wirken willkürlich - sind in der Praxis aber oft eindeutig: Backdoor-Konten mit Administratorrechten. adminbackup klingt wie ein “Notfall-Account”, ist aber meist genau das Gegenteil: ein zusätzlicher Zugang für Dritte.

Wie WordPress-User „unsichtbar“ gemacht werden

Viele denken: „Wenn ich den User nicht sehe, gibt’s ihn nicht.“ Leider falsch. Backdoors nutzen WordPress-Hooks, um die Admin-Oberfläche zu manipulieren - ohne dass du sofort merkst, was passiert.

Was dabei häufig manipuliert wird:

  • pre_user_query: filtert den Backdoor-User aus der SQL-Abfrage heraus
  • views_users: fälscht die Zähler („Alle“, „Administratoren“) - damit du dich nicht wunderst
  • Direkter Zugriff auf user-edit.php oder Löschaktionen wird blockiert

Das Ergebnis ist perfide: Du siehst “alles normal”, während im Hintergrund ein Admin existiert.

Sonderfall: wp_plugin/wp_plugin.php

Der Ordnername wp_plugin wirkt generisch. In echten Schadfällen ist das oft ein Modul, das Besucher beeinflusst - zum Beispiel durch Overlays, Weiterleitungen oder fremde Inhalte. Häufig wird das nicht jeder Person gleich angezeigt (z. B. nur bestimmte Geräte / nur ein paar Mal pro Cookie).

Was du jetzt tun solltest (kurz, aber wirklich wirksam)

Die sichere Reihenfolge

  1. Schadkomponenten entfernen: Fake-Plugins/Schadcode vollständig entfernen
  2. Backdoor-User entfernen: admlnlx, adminbackup etc.
  3. Persistenz ausschließen: mu-plugins, uploads (PHP), verdächtige DB-Optionen, Cronjobs
  4. Zugänge rotieren: Admin-Passwörter, Hosting/FTP, DB-Passwort, WordPress SALTs
  5. Härten: 2FA für Admins erzwingen + .htaccess (Hauptdatei und wp-content)
  6. Backup-Strategie: saubere Backups automatisieren (und nicht versehentlich infizierte zurückspielen)

Wichtig: „Nur updaten“ reicht bei diesem Muster selten. Entscheidend ist, dass die Backdoor nicht wiederkommt.

FAQ

Was ist das Plugin one_images_user?

In Bereinigungsfällen ist one_images_user häufig kein legitimes Plugin, sondern ein Tarnname. Typischerweise wird darüber ein Admin-Zugang angelegt und so versteckt, dass er im Backend nicht sauber auffällt.

Wer oder was ist admlnlx in WordPress?

admlnlx ist häufig ein eingeschleuster Administrator-Benutzer. Solche User werden teils so versteckt, dass sie in der Benutzerliste fehlen und Löschversuche ins Leere laufen.

Wofür steht der Benutzer adminbackup?

Der Name klingt “harmlos”, ist aber oft ein zusätzlicher Backdoor-Admin. Wenn du ihn nicht selbst angelegt hast, solltest du das als Sicherheitsvorfall behandeln.

Warum kommt „Invalid user ID“, wenn ich einen User löschen will?

Das passiert, wenn Schadcode das WordPress-Backend manipuliert und das Bearbeiten oder Löschen eines bestimmten Benutzers gezielt verhindert. In solchen Fällen muss zuerst der manipulierende Code entfernt werden.

Warum stimmt die Anzahl der Administratoren nicht?

Ein klassischer Trick ist das Manipulieren der Zähler in der Benutzeransicht (z. B. “minus 1”), damit der versteckte Admin nicht auffällt.

Wenn du diese Namen siehst, ist das ein klarer Warnhinweis

one_images_user admlnlx adminbackup wp_plugin/wp_plugin.php

Hinweis: Aus Sicherheitsgründen enthält dieser Beitrag keine Schritt-für-Schritt-Anleitung. Er dient der Erkennung und Einordnung – damit klar ist, womit man es zu tun hat und was als nächstes zu tun ist.

 

Details
Zuletzt aktualisiert: 19. Februar 2026

Ergänzende Angebote

Kunden über uns

„Umstellung unserer Joomla Website von PHP 5.3 auf PHP 7 lief super schnell, günstig und mit tadellosem Ergebnis. Sehr gute und nette Kommunikation.“
– H. Bergmann

„Innerhalb eines Tages wurde alles extrem professionell und extrem schnell gemacht. Sehr vertrauenswürdig. Excellent. 5 Sterne“
– Fernando V.

„Ich selbst wusste mir nicht zu helfen, fand hier aber die nötige Kompetenz, um alles wieder bereinigen zu lassen. Nötige Updates und Sicherungen wurden gemacht, alles äußerst preiswert, schnell und gut!“
– Klaus-Peter

„Die Seite sieht super aus – alles wie zuvor – und das unter PHP 7.2 – ich bin beeindruckt - ganz herzlichen Dank!“
– Dr. Ingo Wuddel

„Da wir einen Onlineshop betreiben war, es für uns sehr wichtig, dass unsere Seite schnell wieder im vollen Funktionsumfang für unsere Kunden zur Verfügung steht. Alle Arbeiten werden äußerst schnell zu unserer vollen Zufriedenheit ausgeführt.“  – Löwen Handels GmbH

„Sehr schnelle, seriöse und zielführende Bearbeitung des Problems. Zusätzlich wurden mir Tipps und Strato spezifische Infos mitgegeben, um das Risiko eines Wiederkehrens des Problems zu verringern.“
– Heino B.

„Der Kontakt war besonders freundlich, einige kosmetische Zusatzarbeiten wurden - als sei es selbstverständlich - von selbst in Angriff genommen. Ich bin erleichtert und sehr dankbar.“
– R. Mayer

„Super. In einer absoluten Notlage bei Sperrung von 2 Domains durch Strato wegen Hackerangriff wurden beide Domains zunächst temporär noch am gleichen Tag wieder live geschaltet.“
– I. Radchenko

„Hervorragender Service. Problem innerhalb von 18 Stunden gelöst. Wir sind begeistert. Vielen Dank 🙏“
– Tien Sy Vuong

Website-Bereinigung.de Support Service
4,9 205 Rezensionen > 5
Google Bewertungen

Kontaktmöglichkeiten

Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Kontaktformular

Telefonat vereinbaren
+49 (0)2406 969796
Mo. - Fr. | 9 - 21 Uhr