» Erste Hilfe Anleitung zum WordPress Wurm

Seit dem Wochenende breitet sich der neue WordPress Wurm rasend schnell im Internet aus und hat laut WP Deutschland zahlreiche WordPress Blogs befallen. Bisher sind nur Blogs betroffen, die nicht die aktuelle Version 2.8.4 installiert haben. Wer bisher noch kein Update seines Blogs gemacht hat, sollte dies unbedingt schleunigst nachholen denn dieses Update ist seit dem Wurm ein Pflicht Update. Es gibt hier und da ein paar Gerüchte das auch die neue Version betroffen sein soll, was ich nicht bestätigen kann und auch nur für Panikmache halte. Was ich allerdings bestätigen kann, das auch bei meinem Blog bereits “abgeklopft” wurde und plötzlich ein neuer Benutzer (Abonnent) angemeldet wurde. Diese Möglichkeit lässt sich aber auch schnell und einfach unterbinden indem man keine neue Benutzer zulässt und die Funktion dafür im Backend abschaltet. Dies könnt Ihr unter Einstellungen > Allgemein > Mitgliedschaft das Häkchen entfernen.

Vom Wurm befallende Blogs weisen zwei Merkmale auf: Sie haben veränderte bzw. ungewöhnliche Permalinks wie example.com/category/post-title/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/.

Zudem finden sich im Dashboard unter Benutzer neue Mitglieder oder gar ein Admin mit seltsamen Namen. Wer dies bei seinem Blog feststellt sollte nicht das Update durchführen sondern muss vorher den Schaden beseitigen. Erst dann ist ein Update möglich ansonsten nehmt Ihr das bereits vorhandene Problem möglicherweise mit in die neue Version.

Erste Hilfe für betroffene Blogs

Andy Sowards hat eine kleine Anleitung dazu geschrieben, wie man sich dieser Probleme gezielt wieder entledigt. Diese ist allerdings in Englisch von daher werde ich diese soweit ins Deutsche übersetzen. Danksagungen gehen bitte also an Andy Sowards.

Permalinks beheben

Als erstes geht Ihr im Dashboard in Einstellungen > Permalinks

Dort findet Ihr bereits den Code der Eure Permalinks verunstaltet. Diesen löscht Ihr nun und fügt Euren ursprünglichen ein, so dass Eure Permalinks wie vorher aussahen und wieder in einen Normalen Zustand gebracht werden.

Falsche Benutzer löschen

Hier wird es etwas trickreich. Ruft im Dashboard die Benutzer auf. Oben werden die Anzahl der Mitglieder und Admins angegeben und diese direkt darunter aufgelistet. Ihre werdet feststellen das die Anzahl der Admins nicht mit der Anzahl der Aufgelisteten übereinstimmt. Der falsche Admin wurde extra versteckt, damit dies nicht so schnell bemerkt werden kann.

Nun geht Ihr folgendermaßen vor: Ihr geht mit Eurer Maus über die einzelnen Namen in der Auflistung welche auch eine URL haben (Bearbeiten ist gemeint). Diese Namen wurden mit einer User ID (user_id=Zahl) ausgestattet welche auch in der URL enthalten ist. Sucht nun den letzten Registrierten User (hat die höchste user_id Zahl in der URL) und kopiert die URL. Fügt die URL nun in den Browser ein aber ruft diese noch nicht ab. Erhöht nun die user_id um den Wert 1. Lautete die user_id=3 so müsst Ihr diese in user_id=4 ändern. Nun könnt Ihr die URL abrufen. Ihr habt jetzt den versteckten Admin mit einem seltsamen Code im ersten Namen gefunden.Klickt auf bearbeiten und Löscht diesen Code. Dann macht Ihr aus dem Admin einen Abonnenten. Kehrt wieder zur Benutzter Verwaltung zurück wo alle User aufgelistet sind und löscht Ihn. Das sollte es gewesen sein.

Macht das benötigte Update und erstellt Eure Backups. Viel Erfolg!