Wenn Ihr WordPress Blog eine Erkältung hat, liegt es meistens an einem unschönen Virus. Wer sich diesen Virus einfängt und nicht mit einem externen Editor arbeitet wird diesen über das Backend (Administration) nicht finden und muss einige Dateien manuell säubern.
Trotz Virus in WordPress Ruhe bewahren
Wer seinen Blog nur über den Adminbereich pflegt und weder einen Editor oder FTP Editor benutzt wird den Virus nur im Quellcode seiner Liveseite sehen, jedoch nicht entfernen können, da dieser per Javascript versteckt wird. Mit Sicherheit wird Ihnen die FAQ von WordPress weiterhelfen. Der Erste Rat ist schonmal der wichtigste “Ruhig bleiben” um keine Fehler zu begehen.
Generell läßt sich es einfach sagen: “Sichern Sie die Datenbank, löschen Sie Ihren Fileserver und die Datenbank, installieren Sie die aktuelle WordPress Version und updaten Sie die Datenbank. Nun ändern Sie sämtliche Passwörter und Sicherheitsschlüssel. Fertig” Für die meisten “normalen” Anwender war schon bei “Sichern der Datenbank” Feierabend. Und mit der Schnellversion ist Ihnen nicht geholfen.
Step by Step
Holen Sie sich bei WordPress neue Sicherheitsschlüssel und ersetzen Sie diese in der Datei wp-config.php. Auch sollten Sie wirklich unbedingt ein neues Passwort für Ihre Datenbank anlegen und dieses in der wp-config.php erneueren. Auch die FTP Passwörter sollten Sie ändern. Da kommen Sie nicht drumrumherum.
Wirklich gute und hilfreiche Artikel mit weiterführenden Informationen zum Thema WordPress Virus finden Sie auch auf Golem.de und auf verschiedenen Blogs wie untugend.de und tutsi.de.
Tolles Tool aber mit einem kleinen Bug
Dieses Tool prüft Ihren öffentlichen Blog. Da in dem angezeigten Blog bereits Javascript etc ausgeführt wurde steht nun irgendwo im Quellcode der IFrame nach dem man suchen kann. Nichts anderes macht dieses Tool. Also wird die angezeigt Version und die verlinkten Unterseiten überprüft. Ein kleiner Bug ist, dass die Dateien, die nicht ausgeführt und nicht nötig sind um den Blog anzuzeigen, nicht aber die im Hintergrund noch auf Ihrem Webspace liegen aber nicht geprüft werden. So sind zum Beispiel alle Themes infiziert, nicht nur das aktive Design.
Gesucht wird nach #bbfd9f# oder gzinflate welcher in PHP Dateien steckt:
#bbfd9f#
echo(gzinflate(base64_decode("fVNN......")));
#/bbfd9f
Aber auch in HTML Dateien sollten Sie nach < ! –bbfd9f– > suchen. Eigentlich kann man sagen alle Dateien die mit Index, Header, Footer etc. zu tun haben sind befallen. Auch die Ordner wie zum Beispiel Plugin und die einzelnen Plugin selbst muss man durchsuchen.
Tool zum Testen: http://sitecheck.sucuri.net/scanner/
Manuelle Virussuche bei WordPress
Eine Suche im Quellcode zeigt einen 1×1 Pixel IFrame der http://www.hausauto.de/index.php aufruft. Toller Traffic für diese Seite aber leider zum Ärgerniss aller WordPress Benutzer.
© 16.12.2012 Marco Bockelmann