Ich habe mir gerade ein neues Wordpress installiert und musste merkwürdigerweise keine Datenbank-Angaben machen. Ich habe gelernt: Das ist ein ziemlich tricky Versuch, eine Websitre schon zu schädigen, bevor sie überhaupt richtig online ist. Das habe ich dazu gefunden:
https://smitka.me/2022/07/01/wordpress-installer-attack-race/
@mondstern @ebildungslabor
Als Userin/Superuserin überlege ich nun: Lässt sich nachträglich bei einer Seite erkennen, ob sie „gehackt“ wurde?
@Sofasophia @ebildungslabor wen von beiden meinst du denn ?
@Sofasophia @mondstern @ebildungslabor vermutlich, indem man die wp-config anschaut, ob da ein entsprechender Datenbank-Server und Prefix gesetzt ist
@ebildungslabor ich würde NIE 1click lösungen verwenden. #wordpress kann man von hand die config files definieren und es braucht nicht länger als 2min
@ebildungslabor Deshalb kommt bei mir in den leeren Ordner als allererstes eine .htaccess incl .htpasswd, so dass ein unbefugter Zugriff in dem obigen Zeitfenster keine Chance hat. Danach lade ich die WordPress Daten hoch und richte in Ruhe ein.
@tom
Ja, das werde ich wohl zukünftig auch so machen.
@ebildungslabor
Es gibt auch https://codeberg.page/