Leider ist es mir selbst in der nahen Vergangenheit zweimal „gelungen“, dass diese meine WordPress-Installation gehackt wurde. Erkannt habe ich das zunächst daran, dass die im Frontend sichtbaren Plugins nicht mehr gingen (z.B. Formular, OSM-Karte) und dann im Backend daran, dass keine Plugins mehr da waren. Diese waren als Verzeichnisse/Files zwar noch vorhanden, aber beim Blick in beliebige PHP-Files zeigte sich, dass vorn dran zusätzliche per Hex-Schreibweise (\xnn) „verschlüsselte“ PHP-Befehle eingefügt worden waren.
Ein dafür mögliches Stichword zum Suchen: „timthumbs“ www.exploit-db.com/exploits/17602.
Nun konnte ich unmöglich in tausenden Files diese Einfügung entfernen. Zum Glück funktionierte das vorletzte Backup – das letzte war ebenso kaputt. Der zitierte Artikel gibt viele Hinweise auf Möglichkeiten, seine WP-Installation zu schützen. Unbedingt lesenswert!
Quelle: Basisschutz | WordPress absichern Teil1 | Kuketz IT-Security Blog
Nachtrag: Ich habe eine Sicherung des Verzeichnisses /admin/ mittels .htaccess und .htpasswd eingeführt und seitdem ist anscheinend Ruhe mit den hackerangriffen. Jedenfalls bekomme ich nichts mehr gemeldet.