Footer Spam in WordPress bekämpfen
6. Juni 2008 - abgelegt unter bloggen
So, einige Tage später bin ich endlich auf eine Lösung meines Problems gestoßen. Wie schon berichtet hatte ich in mehreren Blogs unsichtbaren Spam im Footer. Dieser wurde durch einen Aufruf von wp_footer(); in der footer.php aktiviert. Einfaches rauslöschen dieser Zele half aber nur ein paar Stunden, dann war der Spam wieder da. Zuerst tippte ich auf einen Hack, schließlich hatte es sogar Robert erwischt, aber das Problem war bei mir ein anderes.
Auch das austauschen aller Dateien, ein Update auf eine neue WordPress-Version und das bereinigen des Themes haben nichts geholfen. Das Problem saß in der Datenbank.
Der Trick: In der Datenbank wird in der wp_options Zeile ein verstecktes Plugin installiert, das jedesmal das aktuelle Theme neu verändert und Spam einträgt. Der eigentliche Schadcode versteckte sich gekonnt irgendwo im uploads – Ordner, genau der Ordner der bei keinem Update angefasst wird, weil dort ja z.B. alle Bilder der alten Beiträge liegen.
Eine genaue HIlfe, wie diese Dinge wegzubekommen sind fand ich im Netz, das war meine Rettung.
http://www.teohuiming.name/blog/wordpress-exploit
http://linux.byexamples.com/archives/397/ wordpress-exploit-we-been-hit-by-hidden-spam-link-injection/
Vielleicht ist doch irgendwann ein anderes Blogsystem fällig. Nur wie bekomme ich alle alten Beiträge gerettet, wenn ich meiner Datenbank nicht mehr trauen kann?
Google 
7. Juni 2008 15:47
Die Exploits geistern ja schon eine Weile rum und meistens sind alte WordPress Versionen und unsaubere Themes dafür verantwortlich. Ärgerlich natürlich wenn man es erst merkt, wenn die Seite aus dem Index geflogen ist. Aber die ist genau so schnell wieder drin wenn sie wieder sauber ist.
Eigentlich sollte auch nix mehr passieren wenn Du das System wechelst, weil die Struktur meist anders aufgebaut ist. Ich arbeite seit Kurzem mit modx und WordPress MU. Beides zu empfehlen.
12. Juni 2008 12:59
Ärgerlich war es auf jeden Fall. Nachdem ich heute wieder zwei Anfragen bekam, die sich auf eine Google-Suche bezogen muss die Seite wieder im Index sein. Dann bleibe ich wohl doch vorerst bei WordPress, aber schau dass ich immer die neuste Version habe.
25. September 2008 17:25
[...] ging es auch nicht alleine so. Der Durchblickerblog hatte das selbe Problem und dort habe ich auch die Links gefunden, die mir weitergeholfen haben. Anscheinend wird auch eine andere Google Adsense ID verwendet. Echt [...]