In den eingehenden Nachrichten für mein Blog liegt heute morgen eine Nachricht, daß ein neuer User namens t2trollherten angelegt worden wäre:
Das alarmiert mich natürlich, denn die Registrierung für neue Benutzer ist in meinem Blog abgeschaltet:
Die gleiche Nachricht finde ich für eine ganze Reihe weiterer WordPress Installationen auf meinem Server und auch für den Benutzer t3trollherten. Ich untersuche die Benutzerliste in den betroffenen Blogs und finde, daß die neu angelegten Benutzer allesamt Administrator sind:
Okay, ab jetzt wird das als Stufe 1 Vorfall mit höchster Dringlichkeit bearbeitet, alles andere bleibt erstmal liegen.
Eine Suche nach den Usernamen t2trollherten und t3trollherten fördert eine Mitteilung bei Wordfence zutage, die eine Sicherheitslücke in einem der von mir verwendeten Plugins beschreibt, mit welcher die Benutzerregistrierung mißbraucht werden kann, um User gleich mit der Klasse Administrator anzulegen:
Also gefunden, denn das Plugin WP GDPR Compliance setze ich auf allen meinen Websites ein, die eine Kommentarmöglichkeit haben. In allen dieser Websites sind die betroffenen Benutzer zu finden und überall, bis auf eine, sind sie auch Administrator.
Da ich nicht nachvollziehen kann, was durch diese Benutzer geändert oder hinzugefügt wurde, speichere ich das Backup von gestern morgen zurück, 8.11.2018 02:00 Uhr. Da war das Plugin zwar noch verletzlich, aber gemäß meinen Aufzeichnungen wurde noch keiner dieser Benutzer angelegt. Tut mir nicht weh, weil ich gestern im Wald war zum Pilzesammeln und kein einziges Bit auf meinen Websites geändert habe.
Nachdem der Server vom Backup wieder gestartet hat, aktualisiere ich natürlich schnellstmöglich auf die aktuelle Version 1.4.3 des Plugin WP GDPR Compliance. Diese Version (soll) die Sicherheitslücke nicht mehr aufweisen:
Nun kann ich die Priorität wieder etwas senken, gerade nochmal gutgegangen.