AW: Wordpress Spam Link im Code, hilfe
Hast Du das Problem auch, wenn Du sowohl WordPress als auch die Themes auf einem lokalen XAMPP laufen lässt? Mach doch mal eben ein Backup der verwendeten DB, zieh den ganzen WordPress-Ordner auf einen lokalen XAMPP-Server rüber und guck dann mal, ob Du den Spam-Links dort auch bekommst. So eine Spiegelung dauert ja bei WordPress nicht lange. Hintergrund der Idee: Wenn
- der Spamlink dann als solcher nicht auftritt,
- nicht in Deiner WordPress-Installation und
- auch nicht in Deinem Theme steckt
... dann käme ja noch ein infizierter Server oder eine infizierte PHP-Umgebung in Frage, welche Dir das dann zur Laufzeit injizieren.
Auf dieser Seite beschreiben Leute einen solchen Effekt auf Ihrem Server und die Behebung des Problems:
Dem Wartungszustand der Kommentare nach, haben die sich das nicht ganz zufällig eingefangen - erscheint mir etwas unmoderiert :-(
Ansonsten zur Suche: Was Du in Dreamweaver siehst, ist ja bei WordPress allenfalls was ein Server aus PHP-Anweisungen schnippselweise zusammengeneriert hat. Die betreffende Zeile kannst Du so nicht finden. Da steht eher sowas wie
<?php
$texte = 'Foo'.'Bar';
echo $variable.'String';
?>
Und daraus wird dann eine HTML-Seite generiert, die der Server ausliefert. Das ist das Prinzip von CMS wie WordPress. Im Dreamweaver suchen ist sinngemäß so, als würdest Du ein PDF-Dokument durchsuchen um ein Word-Makro zu finden. Letzteres wäre aber ja auch nur im (Quell) Word-Dokument enthalten - nicht in dem daraus generierten PDF.
Wenn Du suchen willst, dann so als Richtlinie:
Prüfe (wie folgt unten), welche Dateien Deines Themes diese Impressum-Seite generieren. Vermutlich irgendwas mit header.php oder so, vielleicht aber auch irgendwas mit single.php im Falle eines Artikels oder page.php im Falle einer Seite, dann sidebar.php usw.). Du musst die Zeilen finden, die diesen Stör-Text in die HTML-Seite schreiben. Neben diesen wahrscheinlichen PHP-Dateien kann es im Falle eines Hacks aber auch in jeder anderen Datei vertrickst sein. Hacker wollen ja nicht unbedingt, das man ihre Kniffe gleich auf Anhieb findet.
Bleibt die Frage - wie prüfen?
Durch "zuhalten" von Code-Teilen:
Versuche im PHP-Code komplette Abschnitte zu finden. Komplett: erkennst Du daran, dass sie HTML-typisch mit Tags in Spitzklammern anfangen, dann irgendwas mit PHP in der Mitte haben und mit einer HTML-Spitzklammer wieder aufhören. Also zum Beispiel:
<title> <?php ... viel Zeugs ...
></title>
Sichere vorher die Datei, die Du untersuchen willst ... und lösche einen solchen Abschnitt. Jetzt speichern und in einem zweiten Browserfenster aktualisieren. Dort guckst Du jetzt, was von der Seite weg ist. Diese Arbeit hat zwar mit PHP zu tun. Aber dazu muss man nicht allzu viel von PHP verstehen - Du willst ja nur was löschen und nicht neu schreiben.
Wenn Du Dich verhauen hast - also über eine Tag-Kombination hinausgeraten bist oder nicht alles erwischt hast - quittiert das WordPress schnell mit einer Katastrophen-Optik. Macht aber nix - kopiere halt die vorher gesicherte Datei zurück und versuch's erneut.
Ja - ist ein Geduldspiel!
Wenn Du eine solche Zeile gefunden hast - also ohne die einfach der Spam weg ist - nimm sie raus. Fertig (momentan!).
Beobachte Deine Seite in den nächsten Tagen. Denn: der Weg, wie jemand Dir das untergeschoben ist, ist noch offen. Eine Strategie dagegen hängt von Deinem System ab, welche Art von Angriff das überhaupt war (musst Du untersuchen, wenn Du den Schmutz hast - da gibt es sicherlich Info-Seiten zu). Das ist aber ein anderes Kapitel - da könnte man jetzt fruchtlos ewig spekulieren.
Der Link oben deutet an, dass der Auslöser vielleicht gar nicht im WordPress-Teil ist, sondern schon in der PHP-Installation Deines Servers liegen kann, ebenso aber auch in anderen Teilen des Servers.
Mein erste Tipp oben dient darum der Analyse des Servers.
Viel Glück.
