Erwischt!

Wie ihr vielleicht gemerkt habt, war unsere Seite 2 Tage offline. Am Dienstag um 12 Uhr erhielten wir eine Email von unserem Hoster, dass unsere Webpräsenz als Spam-Schleuder missbraucht wird. Netterweise wurde uns auch die Datei mitgeteilt, die für den Spam-Versand verantwortlich ist.

Schnell zeigte sich, dass sowohl in unserem WordPress Root-Verzeichnis wie auch in Unterverzeichnissen des Jetpack-Plugins je Menge Dateien waren, die nicht dorthin gehören. Alles mehr oder weniger kleine PHP-Dateien mit verschlüsseltem Code.

Die Sofortmaßnahme war dann, diese Dateien alle zu löschen, sämtliche Passwörter zu ändern und alle Plugins zu aktualisieren. Das haben wir dann dem Hoster mitgeteilt, der dann heute unsere Domäne wieder freigeschaltet hat.

Was bleibt ist das ungute Gefühl, keine Ahnung zu haben, wie so etwas passieren konnte, denn eifriges Googlen brachte keine weiteren Erkenntnisse. Hatte jemand unsere Passwörter geknackt? Oder eine Schwachstelle im Jetpack-Plugin ausgenutzt (das zugegebenermaßen nicht aktuell war)? Wir wissen es nicht, haben aber weitere Maßnahmen getroffen, um Änderungen an unserer Website schnell entdecken zu können. Bleibt also nur noch Daumendrücken.