3
Änderungen in Wordpress verschwinden
Hallo zusammen.
Wir haben auf unserer Homepage ein für mich höchst merkwürdiges Phänomen. Ich habe wirklich keine besonderen Kenntnisse in Wordpress, daher beauftragen wir i.d.R. Werbeagenturen mit größeren Änderungen. Das war zuletzt eigentlich länger ein Unternehmen, kürzlich ist aber für einen speziellen Bereich ein weitere dazu gekommen. Wir selbst machen kleinere inhaltliche Anpassungen, Newsletter hoch laden, etc. Eigentlich läuft das mit den Agenturen ganz okay. Vor allem sind die viel tiefer im Thema und kennen die neusten Bugs - die ursprüngliche Agentur kümmert sich auch um Sicherheitsupdates nach Absprache mit uns.
Die beiden Agenturen und unsere Mitarbeiterin, die sich um inhaltliche Dinge kümmert, haben eigene Accounts. Ich hatte bis heute nicht mal einen Eigenen, ich bin da wirklich nicht scharf drauf. Wenn ich entfernt etwas damit zu tun habe geht es eher ums DNS. Die Inhalte sind nicht kritisch, es ist eigentlich alles öffentlich. Hoster ist Hetzner. Was soll man sonst noch sagen, es ist eine relativ simple Seite die aber schon einige Zeit existiert und nur modifiziert wurde. In der Wordpress-Instanz existieren einige Plugins, die mal irgendwann für etwas gut waren
Problem:
Wir haben gegen Ende letzten Jahres eine Vielzahl kleiner Änderungen gemacht. Bilder getauscht, Texte angepasst, etc. Erstmal war alles gut. Es wurden später noch Dateien hoch geladen und zum Download bereit gestellt. Dann stellte sich Anfang Januar heraus das plötzlich alle alten Inhalte wieder in ihrer ursprünglichen Form vorhanden waren. Nur diverse Dokumente, die später zum Download hoch geladen wurden, waren normal da. Aber z.B. Bilder ehemaliger Mitarbeiter waren auch wieder vorhanden.
Am Tag, als wir den Umstand bemerkt haben, hatte die Mitarbeiterin, die Inhalte einpflegt (nicht zum ersten mal), Login Probleme. Das Passwort musste zurück gesetzt werden. Die Unterseite /wp-admin war nicht mehr aufrufbar. Seit dem funktioniert nur ein Link mit einem Token. (Zu dem Token muss ich nochmal einen Kollegen befragen, der ist leider im Urlaub.)
Irgendwie nicht lustig, wir wollten der Sache natürlich auf den Grund gehen. Beide Agenturen haben uns versichert, nichts geändert zu haben. Hetzner hat zu der Zeit ein kleines Update der Server vorgenommen, hat aber zwei mal versichert, das keine Restore von einem Backup gemacht wurde und das die keinen Einfluss auf die Inhalte genommen haben. Aktuell bin ich der Meinung das ist glaubwürdig.
Einen Hackerangriff konnte man im ersten Moment nicht ausschließen, Passwörter wurden sicherheitshalber alle geändert. Aber so richtig plausibel wäre das nicht. Welcher Hacker stellt den einen alten Zustand exakt so wieder her? Und vor allem wie? Er macht vielleicht ein Defacement aber bindet nicht alte Inhalte manuell wieder ein.
Ich habe mich umgesehen und den Verlauf bestimmter Unterseiten geprüft. Demnach hat es die Änderungen an der Homepage nie gegeben, die waren aber definitiv da und veröffentlicht. Ich habe bei Hetzner nach Restore Logs geschaut und auch einen Restore gemacht, zu dem Zeitpunkt war die Veränderung aber wohl schon mehr als 14 Tage aktiv. Ich habe mir die Datenbank angeschaut, die Daten passen zur Anzeige des Verlaufs in Wordpress. Es gibt keine Anzeichen für eine Inkonsistenz alle Tabellen haben scheinbar den gleichen Stand.
Mein Kollege hat noch ein Plugin "Simple History" installiert, das nicht rückwirkend greift aber seit dem ersten Vorfall logt.
Der Hetzner-Support hat noch die Idee geäußert das ein Cache-Plugin verantwortlich sein könnte. Hier ist "Rocket WP" aktiv und es gibt einen Butten "Cache leeren", den keiner gedrückt haben will. Ich weis nicht, wie dieses Plugin arbeitet.
Alles in Allem habe ich keine befriedigende Theorie, wie das passiert sein könnte. Wir wollten die Sache eigentlich auf sich beruhen lassen, die Änderungen wurden vor zwei Wochen erneut eingepflegt.
Vorgestern ist es dann wieder passiert. Wieder alle Inhalte auf dem Stand von letztem Jahr. Abgesehen von den Dokumenten, die alle da sind. Ich habe jetzt nicht alle Nachforschungen widerholt aber ich habe mir natürlich die Logs von "Simple History" angeschaut. Aber da ist nichts! Es gibt Meldungen zu gefunden Updates, es gibt Meldungen zu Logins, es gibt einige wenige Aktivitäten. Nichts davon fällt aus dem Rahmen, nichts deutet auf eine Änderung durch einen Benutzer hin.
Ich habe einen Restore der Datenbank gemacht aus dem Backup ca. 36h nach der zweiten Änderung. Mein Benutzer (heute angelegt), den Eintrag mit neuem Newsletter (Montag) und Logs aus dem Zeitraum sind erwartungsgemäß weg. Die alten Inhalte sind nach wie vor da. Die Ursache müsste also schon bei der zweiten Anpassung der Inhalte oder in den 24h danach aufgetreten sein. Ich habe keine rationale Erklärung.
Wir haben auf unserer Homepage ein für mich höchst merkwürdiges Phänomen. Ich habe wirklich keine besonderen Kenntnisse in Wordpress, daher beauftragen wir i.d.R. Werbeagenturen mit größeren Änderungen. Das war zuletzt eigentlich länger ein Unternehmen, kürzlich ist aber für einen speziellen Bereich ein weitere dazu gekommen. Wir selbst machen kleinere inhaltliche Anpassungen, Newsletter hoch laden, etc. Eigentlich läuft das mit den Agenturen ganz okay. Vor allem sind die viel tiefer im Thema und kennen die neusten Bugs - die ursprüngliche Agentur kümmert sich auch um Sicherheitsupdates nach Absprache mit uns.
Die beiden Agenturen und unsere Mitarbeiterin, die sich um inhaltliche Dinge kümmert, haben eigene Accounts. Ich hatte bis heute nicht mal einen Eigenen, ich bin da wirklich nicht scharf drauf. Wenn ich entfernt etwas damit zu tun habe geht es eher ums DNS. Die Inhalte sind nicht kritisch, es ist eigentlich alles öffentlich. Hoster ist Hetzner. Was soll man sonst noch sagen, es ist eine relativ simple Seite die aber schon einige Zeit existiert und nur modifiziert wurde. In der Wordpress-Instanz existieren einige Plugins, die mal irgendwann für etwas gut waren
Problem:
Wir haben gegen Ende letzten Jahres eine Vielzahl kleiner Änderungen gemacht. Bilder getauscht, Texte angepasst, etc. Erstmal war alles gut. Es wurden später noch Dateien hoch geladen und zum Download bereit gestellt. Dann stellte sich Anfang Januar heraus das plötzlich alle alten Inhalte wieder in ihrer ursprünglichen Form vorhanden waren. Nur diverse Dokumente, die später zum Download hoch geladen wurden, waren normal da. Aber z.B. Bilder ehemaliger Mitarbeiter waren auch wieder vorhanden.
Am Tag, als wir den Umstand bemerkt haben, hatte die Mitarbeiterin, die Inhalte einpflegt (nicht zum ersten mal), Login Probleme. Das Passwort musste zurück gesetzt werden. Die Unterseite /wp-admin war nicht mehr aufrufbar. Seit dem funktioniert nur ein Link mit einem Token. (Zu dem Token muss ich nochmal einen Kollegen befragen, der ist leider im Urlaub.)
Irgendwie nicht lustig, wir wollten der Sache natürlich auf den Grund gehen. Beide Agenturen haben uns versichert, nichts geändert zu haben. Hetzner hat zu der Zeit ein kleines Update der Server vorgenommen, hat aber zwei mal versichert, das keine Restore von einem Backup gemacht wurde und das die keinen Einfluss auf die Inhalte genommen haben. Aktuell bin ich der Meinung das ist glaubwürdig.
Einen Hackerangriff konnte man im ersten Moment nicht ausschließen, Passwörter wurden sicherheitshalber alle geändert. Aber so richtig plausibel wäre das nicht. Welcher Hacker stellt den einen alten Zustand exakt so wieder her? Und vor allem wie? Er macht vielleicht ein Defacement aber bindet nicht alte Inhalte manuell wieder ein.
Ich habe mich umgesehen und den Verlauf bestimmter Unterseiten geprüft. Demnach hat es die Änderungen an der Homepage nie gegeben, die waren aber definitiv da und veröffentlicht. Ich habe bei Hetzner nach Restore Logs geschaut und auch einen Restore gemacht, zu dem Zeitpunkt war die Veränderung aber wohl schon mehr als 14 Tage aktiv. Ich habe mir die Datenbank angeschaut, die Daten passen zur Anzeige des Verlaufs in Wordpress. Es gibt keine Anzeichen für eine Inkonsistenz alle Tabellen haben scheinbar den gleichen Stand.
Mein Kollege hat noch ein Plugin "Simple History" installiert, das nicht rückwirkend greift aber seit dem ersten Vorfall logt.
Der Hetzner-Support hat noch die Idee geäußert das ein Cache-Plugin verantwortlich sein könnte. Hier ist "Rocket WP" aktiv und es gibt einen Butten "Cache leeren", den keiner gedrückt haben will. Ich weis nicht, wie dieses Plugin arbeitet.
Alles in Allem habe ich keine befriedigende Theorie, wie das passiert sein könnte. Wir wollten die Sache eigentlich auf sich beruhen lassen, die Änderungen wurden vor zwei Wochen erneut eingepflegt.
Vorgestern ist es dann wieder passiert. Wieder alle Inhalte auf dem Stand von letztem Jahr. Abgesehen von den Dokumenten, die alle da sind. Ich habe jetzt nicht alle Nachforschungen widerholt aber ich habe mir natürlich die Logs von "Simple History" angeschaut. Aber da ist nichts! Es gibt Meldungen zu gefunden Updates, es gibt Meldungen zu Logins, es gibt einige wenige Aktivitäten. Nichts davon fällt aus dem Rahmen, nichts deutet auf eine Änderung durch einen Benutzer hin.
Ich habe einen Restore der Datenbank gemacht aus dem Backup ca. 36h nach der zweiten Änderung. Mein Benutzer (heute angelegt), den Eintrag mit neuem Newsletter (Montag) und Logs aus dem Zeitraum sind erwartungsgemäß weg. Die alten Inhalte sind nach wie vor da. Die Ursache müsste also schon bei der zweiten Anpassung der Inhalte oder in den 24h danach aufgetreten sein. Ich habe keine rationale Erklärung.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671643
Url: https://administrator.de/forum/aenderungen-in-wordpress-verschwinden-671643.html
Ausgedruckt am: 26.02.2025 um 18:02 Uhr
3 Kommentare
Neuester Kommentar
Liste aller Plugins wäre hilfreich
Hört sich aber schon merkwürdig an und mir mangelt es gerade auch an möglichen Ursachen.
Besonders merkwürdig: Simple History notiert nichts, ist aber auch immernoch aktiviert nach dem Vorfall. Es wird also nicht die gesamte Datenbank zurückgesetzt sondern nur Teile?!
Den Button Cache-Löschen könnt Ihr klicken, der macht normalerweise nix kaputt. Spannend wäre hier eventuell wie der Cache konfiguriert wurde. Läuft das nen APC, MEMCACHE oder ähnliches als Objectcache?
Hört sich aber schon merkwürdig an und mir mangelt es gerade auch an möglichen Ursachen.
Besonders merkwürdig: Simple History notiert nichts, ist aber auch immernoch aktiviert nach dem Vorfall. Es wird also nicht die gesamte Datenbank zurückgesetzt sondern nur Teile?!
Den Button Cache-Löschen könnt Ihr klicken, der macht normalerweise nix kaputt. Spannend wäre hier eventuell wie der Cache konfiguriert wurde. Läuft das nen APC, MEMCACHE oder ähnliches als Objectcache?
Simple History wurde nach Vorfall 1 installiert und hat zu Vorfall 2 keinen Eintrag.
Liste liefere ich morgen nach Auch teste ich mal den Cache. Wir machen heute noch einige kleinere Änderungen an diesen alten Seiten und sehen dann einmal täglich nach.
Liste liefere ich morgen nach
Auch teste ich mal den Cache. Wir machen heute noch einige kleinere Änderungen an diesen alten Seiten und sehen dann einmal täglich nach.
Womit macht Ihr das Backup? Außerhalb von Wordpress, innerhalb von Wordpress, Plugin-basiert? Das hört sich doch alles sehr danach an, als wenn da jedes Mal ein Restore stattfindet. Kommt da jemand an den "restore-button"? Automatismus oder einfach jemand, der Euch ärgert?
Ein partielles von Hand (oder auch automatisiert) zurückändern kann es ja nicht sein, wenn die Datenbank so aussieht, als habe es nie Änderungen gegeben.
Ein partielles von Hand (oder auch automatisiert) zurückändern kann es ja nicht sein, wenn die Datenbank so aussieht, als habe es nie Änderungen gegeben.
