Viele aktuelle WordPress-Hacks, die ich sehe, leiten alle Besucher auf eine fremde Domain um. Diese „Malware-Weiterleitungen“ oder „Spam-Weiterleitung“ werden verwendet, um Werbung an alle Besucher Ihrer Website zu senden.
Update: 03.08.2024. Balada Injector Hacker sind wieder verstärkt unterwegs, und viele Webseiten werden derzeit angegriffen. Oft ist Litespeed Cache schuld, dieses ist zu deaktivieren und dann alle Backdoors zu entfernen.
Update: 18.08.2023. Es gibt noch immer viele Angriffe mit Umleitungen – hauptsächlich wegen der gleichen Probleme mit unsicheren Plugins und fehlende Updates wie vor Monaten!
In ein paar Stunden können wir ihre Website wieder sauber und sicher machen, falls Sie auch betroffen sind!
In diesem Artikel wird untersucht, wie diese Umleitung erfolgt und welche Abweichungen möglich sind. Da die Weiterleitungen nicht immer bei jedem Besuch auftreten (und häufig absichtlich vor Administratoren verborgen sind!), bleibt diese Art von Hack möglicherweise lange Zeit unentdeckt.
Eines ist sicher:
Es müssen dringend Abhilfe-Maßnahmen ergriffen werden, damit
- keine Besucher auf der eigenen Website verloren gehen und
- Ihre Kunden nicht angegriffen werden.
Wenn Sie keine Zeit verlieren möchten, kontaktieren Sie mich einfach für sofortige Hilfe um €145 Fixed-preis.
Domainnamen, die aktiv in WordPress-Weiterleitungen verwendet werden
egocoattell.live
redfiretobind.com
bluefiretobind.com
rdntocdns.com
taskscompletedlists.com
recordsbluemountain.com
roselinetoday.com
bluelitetoday.com
redselectorpage.com
blueselectorpage.com
greenstepcherry.com
bluestepcherry.com
greenfastline.com
specialcraftbox.com
decentralappps.com
linestoget.com
stratosbody.com
quartzquester.top
viqtorywins.com
clickandanalytics.com
predictivdisplay.com
firstblackphase.com
sortyellowapples.com
descriptionscripts.com
scriptsplatform.com
cdn.statisticline.com
desirebluestock.com
actraffic.com
importraffic.com
trackersline.com
violetlovelines.com
specialblueitems.com
weatherpillatform.com
admarketlocation.com
travelfornamewalking.ga
transandfiestas.ga
helpmart.ga
jQueryNS.com
legendarytable.com
greengoplatform.com
transportgoline.com
drakefollow.com
confirmacionsb.com
classicpartnerships.com
specialadves.com
lovegreenpencils.ga
linetoadsactive.com
secondaryinformtrand.com
donatelloflowfirstly.ga
hostingcloud.racing
lowerthenskyactive.ga
lowerbeforwarden.ml
polimer.xyz
deliverygoodstrategies.com
gabriellalovecats.com
watch-video.net
bnmjjwinf292.com
name0fbestway.com
declarebusinessgroup.ga
sinistermousemove.art
url-partners.g2afse.com
buyittraffic.com
cuttraffic.com
puttraffic.com
importtraffic.com
decimalprovehour5.live
trendopportunityfollow.ga
examhome.net
saskmade.net
stat.trackstatisticsss.com
sferverification.com
poponclick.info
train.developfirstline.com
letsmakeparty3.ga
beforwardplay.com
belaterbewasthere.com
waterflowpick24.live
2.8mono.biz
dontstopthismusics.com
lobbydesires.com
blackentertainments.com
fox.trackstatisticsss.com
graizoah.com
asoulrox.com
ofgogoatan.com
stivenfernando.com
fast.destinyfernandi.com
trackstatisticsss.com
check.resolutiondestin.com
dest.collectfasttracks.com
digestcolect.com
verybeatifulantony.com
gotosecond2.com
forwardmytraffic.com
crazytds.club
WordPress-Spam-Weiterleitungen – Verstecke für die Malware
Grundsätzlich können automatische Weiterleitungen in jede vom WordPress-System geladene Datei eingefügt werden.
Darüber hinaus gibt es auch häufige Skriptinjektionen direkt in die Datenbank.
Es gibt verschiedene Verstecke für Spam-Weiterleitungen, die ich in den letzten Monaten gesehen habe:
- Javascript-Injektionen in PHP-Dateien (insbesondere in Theme- und Plugin-Dateien)
- Javascript-Dateien, die am Anfang aller JS-Dateien auf dem Server eingefügt werden
- Skriptinjektionen in Seiten und Artikeln (wp-posts Datenbanktabelle)
- Die URL der Website (wie in der Datenbanktabelle wp-options festgelegt) wurde in die Hacker-Domain geändert
- Geänderte .htaccess-Dateien (häufig in vielen Ordnern)
- Über Werbenetzwerke (gehackte Ad-Server)
Zusätzlich zu den Spam-Weiterleitungen werden immer mehrere Backdoors hinzugefügt, und häufig werden mehrere Administratorbenutzer zu WordPress hinzugefügt, um den Hackern den vollen Zugriff zu ermöglichen, selbst wenn die anfälligen Plugins gepatcht wurden.
Liste anfälliger Plugins
Die überwiegende Mehrheit dieser Angriffe zielt auf Sicherheitslücken ab, die vor Monaten oder sogar Jahren behoben wurden. Wenn Sie eines dieser Plugins auf Ihrer Website installiert haben, stellen Sie sicher, dass Sie das neueste sichere Update verwenden!
- Elementor Pro
- Duplicator
- Hybrid Composer
- Page Builder by SiteOrigin
- ThemeGrill Demo Importer
- NicDark plugins
- Profile Builder
- WP GDPR Compliance
- Coming Soon and Maintenance Mode
- Yellow Pencil Visual Theme Customizer
- Woocommerce User Email Verification
- WP Live Chat Support
Wie vermeide ich diese Probleme?
Wie bei den meisten WordPress-Angriffen besteht die Lösung darin, alle Plugins und den WordPress-Kern regelmäßig zu aktualisieren. Stellen Sie außerdem sicher, dass Sie nicht benötigte Plugins entfernen (und nicht nur deaktivieren).
So stellen Sie Ihre Website wieder her, wenn Sie infiziert wurde
Es gibt 2 Möglichkeiten, eine infizierte Website wiederherzustellen: mit einem Backup oder durch Entfernen aller Malware und Backdoors, durch die Hacker sonst immer wieder zurückkommen.
- Variante 1: Backup einspielen
Da diese Angriffe im Allgemeinen 100 oder sogar 1000 Dateien sowie die Datenbank infizieren, besteht die beste Wiederherstellungsmethode darin, das gesamte WordPress-Verzeichnis zu löschen (stellen Sie sicher, dass Ihre Sicherung in Ordnung ist, bevor Sie dies tun !!) und von einer sauberen Sicherung neu zu installieren. Stellen Sie dann auch Ihre Datenbank aus einer sauberen Sicherung wieder her.
- Variante 2: Entfernen aller Malware und Backdoors
Wenn dies nicht möglich ist, wenden Sie sich an einen Fachmann. Eigenständige Versuche sind wesentlich zeitintensiver und scheitern oft daran, dass man nicht alle aktuellen Tricks der Hacker kennt und nicht alle Backdoors findet. Mit den richtigen Tools und Kenntnissen kann die Bereinigung in 2 – 3 Stunden abgeschlossen und Ihre Website wieder online gestellt werden!
Ich kann Ihre Website innerhalb weniger Stunden für nur € 145 (+ Mwst) sauber, sicher und wieder online haben – kontaktieren Sie mich jetzt für sofortige Hilfe!