Elementor Pro-Benutzer? Sie müssen dies lesen!

Veröffentlicht: 2020-05-20

WordPress hat mein Online-Geschäft in den letzten sieben Jahren vorangetrieben und ist wohl das wichtigste Tool im Arsenal eines jeden SEO.

Mit einer geschätzten Anzahl von Installationen von über 455.000.000 stimmen offenbar 35 % der Website-Eigentümer zu.

Unzählige Plugins und Themenkombinationen machen es zur perfekten Plattform für die weniger „technisch versierten“, um ihre Ideen zum Leben zu erwecken und sie einem Online-Publikum vorzustellen.

Leider macht dies WordPress auch zu einem Ziel für skrupellose „Black Hat“-Vermarkter, die sich in Ihre Website hacken, um sie dazu zu bringen, etwas zu tun, was sie nicht soll – eine Leistung, die sie kürzlich in großem Umfang vollbracht haben.

Als Benutzer von Elementor Pro besteht die Möglichkeit, dass Sie bereits gebissen wurden …

Und Sie sind wahrscheinlich nicht klüger.

Elementor Pro-Schwachstelle

Am 6. Mai veröffentlichte Wordfence diesen Artikel, in dem erklärt wird, wie 1 Million Websites durch einen aktiven Angriff gefährdet sein könnten.

Angreifer nutzten eine Schwachstelle in der Sicherheit von Elementor Pro, um Ihre Besucher böswillig auf ihre eigenen Websites umzuleiten oder sogar die Kontrolle über Ihre Website zu übernehmen.

Das Elementor-Team hat den Fehler schnell behoben, und die Benutzer wurden aufgefordert, so schnell wie möglich auf die neueste Version zu aktualisieren.

Das Update verschaffte vielen – mich eingeschlossen – Seelenfrieden, bis ich herausfand, dass der Angreifer bereits Zugriff auf eine große Anzahl der von mir verwalteten Websites erlangt hatte und dass das Update nicht den geringsten Unterschied machen würde.

Wenn Ihre Website bereits kompromittiert wurde, wird sie durch die Aktualisierung NICHT behoben.

Was könnte ein Hacker mit meiner Website machen?

Bei erfolgreicher Ausführung installiert dieser spezielle Angriff eine Webshell namens „wp-xmlrpc.php“ (sie heißt so, um sich in Ihre Systemdateien einzufügen)

Eine Webshell gibt dem Angreifer vollen Zugriff auf Ihre Website und oft auch auf Ihren Server, was bedeutet, dass er Folgendes tun kann:

  • Inhalte hinzufügen, ändern oder entfernen
  • Fügen Sie Links für den SEO-Wert ein
  • Leiten Sie Ihren Datenverkehr auf ihre eigene Website um
  • Alles löschen!
  • … So ziemlich alles, was Ihnen sonst noch einfällt

Ganz zu schweigen davon, dass der Angreifer möglicherweise Zugriff auf einige Ihrer Kundendaten hat, wenn Sie WooCommerce verwenden.

Wie finde ich heraus, ob ich gehackt wurde?

Sie müssen kein Technikexperte sein, um herauszufinden, ob Ihre Website betroffen ist.

Folgen Sie einfach diesen Schritten:

1. Überprüfen Sie WordPress-Benutzer

Ein neuer Benutzer auf Ihrer Website ist normalerweise das erste Anzeichen dafür, dass jemand versucht hat, die Schwachstelle von Elementor Pro auszunutzen.

Ein sicheres Zeichen ist, wenn Sie eine E-Mail von Ihrer WordPress-Site erhalten haben, die Sie darüber informiert, dass ein neuer Benutzer in der ersten oder zweiten Maiwoche erstellt wurde.

Melden Sie sich zunächst mit Ihrem Administratorkonto in Ihrem WordPress-Adminbereich an und navigieren Sie zu „Benutzer“.

Suchen Sie nach verdächtigen oder unbekannten Benutzernamen.

Die WebARX-Sicherheit hat eine Liste aller bekannten Benutzernamen veröffentlicht, die bisher bei dem Angriff verwendet wurden.

Wenn Sie einen der Benutzernamen in Ihrem Panel sehen, springen Sie direkt zu Wenn Sie gehackt wurden.

Wichtig : Nur weil kein verdächtiger Benutzername vorhanden ist, heißt das nicht, dass Ihre Website sicher ist.

2. Überprüfen Sie Ihre Dateien

Sie können Ihre WordPress-Dateien mit FTP / SFTP / Dateimanager untersuchen.

Suchen Sie in Ihrem WordPress-Stammordner (normalerweise der erste Ordner, den Sie beim Anmelden sehen) nach einer Datei namens wp-xmlrpc.php.

Wenn diese Datei existiert, hat sich der Angreifer erfolgreich Zugriff verschafft. Es ist unwahrscheinlich, dass das Löschen der Datei an dieser Stelle hilfreich ist.

Du solltest auch /wp-content/uploads/elementor/custom-icons/ überprüfen.

Alle Dateien hier, die Sie nicht als von Ihnen hochgeladene Dateien erkennen, wurden wahrscheinlich von einem Angreifer dort platziert.

Suchen Sie insbesondere nach:

  • wpstaff.php
  • demo.html
  • Lesen Sie Mw.txt
  • config.json
  • icons-referenz.html
  • selection.json
  • fonts.php

3. Führen Sie einen Sicherheitsscan durch

Wenn Sie einen verwalteten WordPress-Host wie WPEngine, WPX Hosting, SiteGround usw. verwenden, können sie dies normalerweise für Sie tun.

Dies ist normalerweise einem eigenen Scan mit Wordfence oder Sucuri vorzuziehen, da Ihr Host möglicherweise Zugriff auf Systemdateien hat, die diese Plugins sonst übersehen würden.

Beliebte kostenlose WordPress-Sicherheits-Plugins sind normalerweise in der Lage, eine Änderung in den WordPress-Kerndateien zu erkennen – interpretieren Sie ein sauberes Scan-Ergebnis jedoch nicht als Garantie dafür, dass Ihre Website sicher ist.

Eine Firewall schützt normalerweise kostenpflichtige Abonnenten solcher Tools, und es besteht eine höhere Wahrscheinlichkeit, dass der Angriff fehlschlägt.

5. Besuchen Sie Ihre Website

Haben Sie in letzter Zeit Ihre eigene Website besucht und wurden zu einer anderen umgeleitet?

Die genaue Funktionsweise dieser böswilligen Weiterleitung bleibt unbekannt.

Besuchen Sie Ihre Website mit diesen Methoden:

  • Verwenden Sie andere Browser im Privat-/Inkognito-Modus
  • Besuchen Sie Ihre Website mit einem Proxy
  • Klicken Sie sich von Google oder Social Media zu Ihrer Website durch

Wenn eine dieser Methoden zu einer Weiterleitung auf etwas anderes als Ihre eigene Website führt, wurden Sie wahrscheinlich gehackt.

Wenn Sie gehackt wurden oder Sie sich nicht sicher sind

Zurücksetzen auf eine frühere Version

Viele Webhoster bieten 14-30-Tage-Backups an. Hoffentlich findet Sie dieser Artikel rechtzeitig, wenn Sie betroffen sind, sodass Sie Ihre Website auf ein früheres Datum vor dem Angriff zurücksetzen können.

Hinweis : Wenn Ihre Backups auf Ihrem Server mit etwas wie Updraft gespeichert werden, besteht die Möglichkeit, dass sie ebenfalls infiziert werden.

Herausfinden, wann Sie angegriffen wurden

Standardmäßig zeigt WordPress keine Benutzerregistrierungsdaten und -zeiten an.

Installieren Sie ein Plugin namens Admin Columns.

Aktivieren Sie in den Plugin-Einstellungen die Spalte „Registrierung“ für „Benutzer“.

Wenn Sie jetzt zur WordPress-Benutzerseite navigieren, zeigt eine neue Spalte das Datum an, an dem der böswillige Benutzer erstellt wurde.

Wenn Sie Ihre Server-Zugriffsprotokolle haben, können Sie alternativ nach dem Eintrag für „wpstaff.php“ suchen.

Setzen Sie Ihre Website auf ein Backup zurück, das vor dem Datum und der Uhrzeit des Angriffs erstellt wurde.

Sobald die Sicherung wiederhergestellt ist, aktualisieren Sie Ihre Plugins so schnell wie möglich, um einen weiteren Angriff zu verhindern.

Suchen Sie dann erneut nach dem Benutzer und den schädlichen Dateien.

Managed-Hosting-Unterstützung

Wenn Sie einen verwalteten Host wie die oben aufgeführten haben, sprechen Sie mit dem Support über die Sicherheitsmaßnahmen und ob sie eine Malware-Bereinigung anbieten.

Hosts wie WPX Hosting und WPEngine enthalten dies kostenlos in allen Paketen.

Reinigungsdienst

Viele "für Sie erledigte" Malware-Entfernungsdienste haben bereits über das jüngste Elementor Pro-Problem berichtet.

Einige sind hier aufgelistet, bitte recherchieren Sie selbst, da ich sie weder persönlich getestet habe, noch mit ihnen verbunden bin:

  • https://www.wordfence.com/wordfence-site-cleanings/
  • https://www.getastra.com/website-cleanup-malware-removal
  • https://sucuri.net/website-security-platform/help-now/

Neu aufbauen

Es scheint eine drastische Maßnahme zu sein, aber wenn Sie ohnehin daran gedacht haben, Ihre Website neu aufzubauen, ist jetzt die perfekte Gelegenheit, um ganz von vorne anzufangen.

Auf diese Weise wissen Sie sicher, dass keine schädlichen Dateien im Hintergrund lauern.

Stellen Sie einfach sicher, dass Sie ein anderes Installations- oder Hosting-Konto verwenden.

Einen Hack verhindern

Es ist schwierig, einen Hack zu verhindern, wenn Sie nicht im Voraus wissen, welche Plugins Schwachstellen enthalten.

Einige grundlegende Tipps zur Verhinderung zukünftiger Hacks:

  • Verwenden Sie einen verwalteten WordPress-Host – sie verfügen normalerweise über Malware-Scanning und -Entfernung und härten ihre WP-Installationen standardmäßig ab (indem sie die Ausführung von PHP-Dateien in Upload-Ordnern verhindern).
  • Halten Sie Plugins, Themes und WordPress Core auf dem neuesten Stand
  • Verwenden Sie ein Sicherheits-Plugin. Aktivieren Sie zumindest die Firewall- und WordPress-Härtung. WordFence Premium, Sucuri und WebARX sind gute Lösungen
  • Führen Sie WPScan aus oder überprüfen Sie WPVulnDB auf anfällige Plugins und Designs, die Sie möglicherweise verwenden.

Wurde Ihre WordPress-Seite gehackt?

Wie sind Sie das Problem angegangen?

Lass es uns in den Kommentaren wissen.

Abonnieren

Ich habe die Allgemeinen Geschäftsbedingungen gelesen und akzeptiere sie*