Wat is PatchMan?! Als je een website hebt kun je wel eens een e-mail ontvangen dat PatchMan datalekken gedicht heeft. PatchMan is een software die door webhosters gebruikt wordt om de server veilig te houden. Let op: PatchMan werkt aan het cms zelf. Niet aan de plugins & themas! Het ontstaan van PatchMan PatchMan is […]
Als je nog niet bekend bent met Nulled plugins: het zijn “gratis” premium plugins die malware bevatten.
Nulled plugins worden door criminelen gekocht, voorzien van malware en dan gratis aangeboden.
Een antivirus plugin die hacks en hackers buiten moet houden, die gehackt is?!
Dat is hetzelfde als een beveiliger in je winkel zetten van Dief & Co
Een beveiliger die iedere ochtend netjes op tijd komt met een lege rugtas, graag overwerkt en met een volle rugtas weer naar huis gaat.
Schijnveiligheid!
Het bijzondere is nog dat er genoeg mensen zijn die illegaal premium plugins downloaden zonder daar netjes voor te betalen en dus in de val van de hackers trappen.
Velen hebben niet door dat de website vanaf het moment dat de plugin actief wordt, spam verstuurt of bezoekers de eerste sessie doorsturen naar een website waar je kunt gokken of andere vreemde items kunt kopen.
Dat is nadelig voor je positie in Google en voor je omzet aangezien je bezoekers jouw website zo niet te zien krijgen.
Wij krijgen geregeld te maken met WordPress sites die gehackt zijn doordat de programmeur de plugins niet netjes gekocht heeft maar gewoon illegaal gedownload heeft.
Het leek ons interessant om eens te kijken wat we binnenhalen als we een Nulled plugin voor de beveiliging van WordPress downloaden.
Ervaring
We hebben veel te maken met gehackte websites en weten exact wat we doen. We raden het NIET aan om illegale of Nulled plugins of andere software te downloaden.
Maatregelen
Uiteraard hebben wij geen zin in virussen en we willen natuurlijk geen problemen met de server.
Om die reden downloaden we de Nulled plugin op een virtuele computer en zetten we de plugin op een afgesloten server.
Het vinden van een Nulled plugin
Er is niets makkelijker dan googlen en een Nulled plugin downloaden. Je kunt het zo gek niet bedenken of ze bieden het aan. De nieuwste releases en de duurste plugins.
Maar.. laat je niet in de maling nemen, hoe betrouwbaar en professioneel de website er ook uit ziet: de plugins bevatten hacks!
De eerste Nulled plugin scan ik met VirusTotal. Het is direct raak.
Wat je op de onderstaande screenshot ziet zijn de meest rotte hacks: trojans & backdoors.
Trojans werken stiekem op de achtergrond van je website zonder dat je het doorhebt.
De naam is afgeleid van het paard van Troje. (Wie dat verhaal niet kent, lees het verhaal hier)
Trojans, backdoors, malware..
Als je de plugin activeert, zet je de toegang naar je server & WordPress volledig open. De hackers of een geautomatiseerd script zullen een seintje krijgen welke website nu weer gehackt (beschikbaar) is.
Ze kunnen werkelijk alles doen wat ze willen:
Je zou zeggen dat de beveiliging van de server, van de webhost dit toch wel doorheeft!
Maar dat is niet zo. De server scant wel bestanden, maar de truc is dat de plugins de code fragmenteren en uitvoeren middels bepaalde volgordes. Die volgorde kent alleen de plugin zelf waardoor de server die niet kan of zal uitvoeren om erachter te komen dat er ongewenste code in staat.
De code wordt naast de fragmentatie ook nog eens in een onleesbare taal geschreven die alleen uitgevoerd kan worden door de hack zelf.
Het resultaat is tevens niet te beoordelen als zijnde wel-of-niet gewenst aangezien php veel serverrechten heeft.
Alleen de meest opvallende en veelvoorkomende hacks worden gedetecteerd waarna ze weggeschreven worden als “suspected”.
Hacks hebben wel de gewoonte om de serverkracht uit te buiten, en alles op volle toeren te laten draaien. Wanneer de hoster daar achter komt, zullen ze je hostingpakket uit zetten totdat je het probleem opgelost hebt.
De hoster kan overigens niet verantwoordelijk gehouden worden voor hacks die in jouw website zitten. Je huurt te webruimte, en als je die niet goed beheert of om welke reden dan ook gehackt wordt, is het aan jou om dit op te lossen.
Aangezien dat ingewikkeld is, heb je hulp nodig of moet je het herstellen van je website laten uitvoeren door professionals.
We zijn even afgedwaald maar we graven dieper in de plugin om te zien waar die trojans en backdoors zitten. Kunnen we ze vinden?
Op zoek naar gefragmenteerde en gecodeerde code
Vaak worden serveropdrachten gecodeerd in Base64 en daarna uitgevoerd met Eval. Dat is het eerste waar we op zoeken.
We zien enkele regels code verschijnen (notepad++ Find in files).
Maar die lijnen code zien er onschuldig uit.
Opvallende bestanden
Een techniek die we toepassen wanneer we een gehackte website herstellen is door simpelweg te kijken naar opvallende bestanden.
Vreemde bestandsnamen of php bestanden die niet in bepaalde mappen (Zoals de css map) thuishoren verraden vaak de malware/hacks.
We sluiten een map uit met css, een map met afbeeldingen en een map met txt’s.
Maar niet zo vlug, de afbeeldingen worden ook wel eens uitvoerbaar gemaakt!! (Wij zien geen php extenties in de afbeeldingen en gaan dus verder)
Uitsluiten van bestanden
We hebben diverse bestanden uitgesloten, en besluiten de overige bestanden nog maar eens te scannen.
Het valt op dat 2 van de 12 antivirusdiensten met het aanpassen van de naam al niet meer doorheeft dat het om de eerder geteste malware gaat.
Kortom, ze stellen vast dat een plugin vals is en onthouden alleen de naam zonder de inhoud vaker te scannen.
Dat is ook een van de redenen waarom hacks/virussen zo lang kunnen doorgaan, wanneer er kleine wijzigingen in code of volgorde-van-uitvoeren aangebracht worden, zijn ze onherkenbaar voor diverse antivirus diensten.
Een paar mappen diep
Veel hacks zitten een paar mappen diep, zodat ze minder snel gevonden worden. Ergens tussen de “images” de “uploads/2015/etc” of “includes/colors/etc”
In dit geval niet, de trojans hebben ze direct in de “core” bestanden van de beveiligingsplugin gezet.
Uiteindelijk hebben we de hacks gevonden, de code was netjes geschreven.
Er is goed over nagedacht, er zijn meerdere alternatieve methodes ingezet om je website open te zetten voor de rest van de wereld (en vooral voor de hackers zelf).
De code tonen we uiteraard niet.
Nulled plugins bevatten nog steeds trojans. Bij deze soort van hacks is de code netjes weggewerkt met opmaak zodat hij niet te onderscheiden is van de reguliere code.
We doen binnenkort nog meer tests, zoals:
Blijf op de hoogte van de nieuwste berichte via Linked-in, of via onze nieuwspagina!
En het mag duidelijk zijn dat hackers en hun criminele activiteiten niet gewaardeerd worden.
De romance van een hacker zoals je die in films ziet, is niet hoe het in de realiteit eraan toe gaat.
Een hacker is iemand die anderen benadeelt om zelf wat winst te maken.
Het frustreert de eigenaren van de website, het frustreert de webhosting en uiteindelijk kost het geld en tijd.
Tja, als je er zelf voor kiest om iets illegaal te downloaden.. ben je eigenlijk net als de hackers.
Je probeert je voordeel te doen met een plugin of thema zonder de maker ervan zijn verdiende geld te geven.
We hebben allemaal wel eens iets gedownload van internet toch?
Maar nu weet je in ieder geval wat je NIET illegaal van internet moet downloaden.
Ps: wij kopen software waar we mee werken netjes. Al is het maar om problemen te voorkomen 😉
Veiligheid boven alles!
Cerber, waar komt die naam vandaan?
Cerber is afgeleid van een mythologisch beest genaamd “Cerberus”. De Cerberus is een beest met meerdere hondenkoppen, een drakenstaart en schubben van een slang.
Wij testen de gratis versie van WP Cerber. Die kun je veilig downloaden via WordPress.org
Na de installatie zie je direct een infobox met de melding dat je IP adres toegevoegd is aan de “Lijst Toegelaten IP-adressen”.
Tevens kun je de startgids lezen, en direct in de hoofdinstellingen duiken.
Helder en duidelijk!
Waar diverse beveiligingsplugins je overladen met functies en mogelijkheden om de website te beveiligen heeft WP Cerber al een groot aantal beslissingen voor je gemaakt.
De beslissingen die je kunt nemen beperken zich tot ongeveer 25 stuks.
Die beslissingen gaan vooral over de manier hoe Cerber om moet gaan met het blokkeren van IP adressen die mogelijk proberen in te breken op je website.
Even tussen de test door kunnen we het niet laten om je te vertellen dat de vertaling ontzettend goed geregeld is. De gebruikte termen om aan te geven wat een functie doet, zijn goed vertaald, dat zien we niet vaak. Daar worden we erg vrolijk van!
We zullen nu de functionaliteiten van Cerber bespreken:
Wat op je website gebeurt, is belangrijk om te weten. Zijn er inlogpogingen gedaan door kwaadwillenden? Door wie zijn die gedaan?
Gebruikersnamen, tijdstippen en IP-adressen zijn de sleutel om hackers buiten de deur te houden.
Wij zijn onder de indruk van dit logboek. Je kunt uit een groot aantal activiteiten kiezen die bijgehouden worden.
Daarnaast kun je op IP-adres of gebruikersnaam zoeken.
Een enorm goede uitvoering van het logboek. Wij persoonlijk houden van deze uitgebreide informatie, al kunnen we ons voorstellen dat dit voor een gewone WordPress gebruiker te geavanceerd is.
Nog zo’n geweldige term (beetje over-de-top)
Wat doet de “verkeersinspectie”?
Deze functie houdt bij wat er op dit moment gebeurt. Live!
Wie er ingelogd is, welke bezoekers op de website zijn, welke 404 verzoeken er gedaan worden en welk verkeer er is in de REST-API en de XML-RPC.
Enorm handig als je op dit moment te maken hebt met aanvallen en activiteiten van hackers.
Daar hebben we weer een heerlijk onduidelijke term zoals we die bij veel andere beveiligingsplugins zien.
Wat doet de Site Integrity?
Dit is een site scan die de integriteit van de website controleert.
Kortom of de bestanden in orde zijn, of de code niet aangepast is door hackers of hackbots.
De scan verbaast ons positief, hij laat helder zien welke bestanden in orde zijn en welke bestanden mogelijke hacks bevatten.
Je hebt een snelle scan, die is met 1-2 minuten of sneller klaar en je hebt een uitgebreide scan. Die kan zomaar 10 minuten duren.
Let op: Het is niet gegarandeerd dat dit echte hacks zijn, diverse plugins gebruiken geavanceerde code die ook door hackers gebruikt worden. Daarom zul je er altijd zelf naar moeten kijken. Cerber raadt aan om de bestanden te vervangen door nieuwe versies waarvan je zeker weet dat die veilig zijn.
Antispam houdt niet alleen comment-spam tegen maar geeft ook de mogelijkheid om een re-captcha op de inlog & registratieformulieren te zetten.
Een goede manier om geautomatiseerde inschrijvingen en reacties te voorkomen.
Tussen de termen als Integrity & AntiSpam komt dan weer een enorm Nederlandse term, gereedschap.
Hiermee kun je de gemaakte instellingen exporteren om op andere websites te gebruiken.
Tevens toont de Diagnostic informatie over je server, de database, de schrijfrechten en nog veel meer.
WP Cerber is een zeer serieuze antivirus die met de gratis versie al heel veel mogelijkheden biedt.
Vooral de analytische mogelijkheden zullen menig webmaster blij maken.
De beveiligingsmogelijkheden zijn zeer goed, zeker gezien dat dit een gratis plugin is.
Goed:
+ De vertaling/termen (ook al zijn ze soms ineens Engels)
+ Veel beveiligingsmogelijkheden (Zeker voor een gratis versie)
+ Live overzicht van activiteiten
+ Strakke en duidelijke indeling
Jammer:
– Heel technisch, al kom je daar niet omheen met security
Ze bieden ook een Cerber PRO versie aan. Die biedt mogelijkheden om diverse scans in te plannen.
CoinHive is een script wat geschreven is in Java. Op zich niets mis mee.
Dit script maakt het mogelijk om Cryptovaluta te “minen” wat je om kunt zetten naar echt geld.
Het Minen wordt gedaan door de CPU of GPU van een computer rekensommen te laten berekenen.
Kortom, het minen is niet gratis en kost dus stroom en rekenkracht van een computer.
Waar het verkeerd gaat, is als hackers het script in je website kunnen krijgen.
Dan zijn er diverse mogelijkheden:
En dat is natuurlijk strafbaar. Maar wel enorm lucratief voor de hacker.
Stel je voor dat je 10, 20 of zelfs 100 computers aan het werk kunt zetten om Cryptovaluta te berekenen.
Daar zijn meerdere manieren voor. We zullen ze niet uitgebreid bespreken maar geven enkele voorbeelden die al jaren bekend zijn.
Nee, een hacker verandert de code elke keer waardoor de server en de beveiliging het niet herkent. Tevens zijn er diverse methodes om dit onleesbaar te maken.
Wanneer je het merkt.. ben je te laat.
Dat is wanneer Google je website blokkeert omdat “je website geïnfecteerd is met Malware”. Dat is een verzamelnaam die Google gebruikt om aan te geven dat er hacks in je website zitten.
Antivirus software zoals Northon, Kasperski, AVG, McAffee zal de CoinHive detecteren op de computer van de bezoeker, wat er voor zorgt dat de website na diverse meldingen op de blacklist van de antivirus software komt te staan.
Bezoekers met die antivirus software worden vervolgens tegengehouden bij het bezoeken van je website of krijgen een melding wanneer ze je website bezoeken.
Hieruit blijkt overigens het belang van goede antivirus op je pc of laptop!!
Zorg dat je plugins en thema + WordPress up-to-date zijn. Als er een lek bekend is, zorgen de ontwikkelaars vaak voor een passende beveiligings-update. Die updates moet je dus wel met regelmaat doorvoeren.
Zorg dat de veelgebruikte trucjes van hackers en hackscripts niet werken op je website. Dit doe je door een beveiligingsplugin te installeren en goed in te stellen.
Dan kun je ons benaderen, wij hebben de ervaring en expertise om de hacks er volledig uit te halen.
Niet alleen het verwijderen van de hacks is een noodzaak maar door het oplossen van de lekken en de backdoors zorgen wij ervoor dat de CoinHive hack niet terug kan komen.
Hackers, klik maar weg. Wij gaan je niet leren hoe je WordPress kunt hacken!!
Zo, nu de hackers weg zijn kunnen we verder gaan met dit artikel.
Een veelvoorkomende hack, je ziet niets op de pagina en niets in je editor.
Totdat je de Tekst editor tab aanklikt! Dan staat er ineens spuuglelijke code.
Vergis je niet, dit is zeer zorgvuldig gekozen code dat meer met je website doet dan je wilt weten.
Met javascript in je website of op diverse pagina’s is heel veel mogelijk. Eigenlijk alles!
Je wilt die code dus niet in je pagina’s hebben. En al helemaal niet stiekem aangezien je dit pas na maanden door kunt krijgen.
Simpelweg kijken in de tekst editor. (Of database table: wp_post)
Die code is helaas zeer simpel te injecteren via een database query. Via een XSS, een lek in een plugin en op nog 30 andere manieren.
Dus,
Kom je er niet uit? Huur ons dan in, dat scheelt je veel hoofdpijn en tijd + je weet dat de website in professionele handen is.
Om hackers te stoppen moet je weten wat ze doen. Waar ze inloggen, wanneer ze inloggen en welke bestanden ze aanpassen.
Als je weet wat hackers doen, kun je de aanpassingen van de hackers terugdraaien, de backdoors en hun accounts verwijderen.
Een helder overzicht van alle gebeurtenissen zie je met de WPB Antivirus plugin.
Dit is een complete antivirus plugin voor WordPress die alles registreert wat er met je website gebeurd!
Hier zal ik van links-naar-recht uitleggen wat je ziet, en wat je met die informatie kunt doen om hackers te stoppen.
Hackers en de scripts die ze schrijven, zijn soms enorm snel en doordacht.
Wij zijn hele dagen actief met het herstellen en beveiligen van gehackte WordPress websites.
Wij bieden daarom abonnementen waarbij we je website herstellen en beveiligen. Met updates & garantie!!
Zo betaal je een vast maandelijks bedrag en sta je nooit voor verassingen.
Je WordPress website preventief laten beveiligen met garantie? Klik hier
Is je WordPress website al gehackt? Geen paniek wij herstellen je website en stoppen de hacker(s). Klik hier
Stel, je WordPress website is gehackt.. maar je hebt geen enkele beveiligingsplugin draaien. Of erger nog, de hacker heeft de beveiligingsplugin uitgeschakeld.
Dan heb je geen idee wat er gebeurd is, je weet niet welke bestanden aangepast zijn, hoe een hacker binnen gekomen is..
De serverlog’s registreren ALLES. Maar dan wel in ruwe servertaal zonder opmaak.
De serverlogs in DirectAdmin vind je na het inloggen onder Your Account » Site Summary / Statistics / Logs » Full usage log
Er komt nu veel informatie op je af.
Er zit een bepaalde volgorde in waar we je doorheen zullen loodsen zodat je de serverlog’s kunt begrijpen.
Nu je de serverlog kunt lezen kun je op zoek gaan naar de geschiedenis van je website, en de handelingen van de hacker
Wij spreken hier over hacker maar in 9/10 gevallen gaat het om een script dat uitgevoerd wordt door de hacker of zelfs nog een geautomatiseerd script waar de hacker niet eens meer op let.. die kijkt alleen naar de uitkomsten en de resultaten.
Zo’n serverlog kan gerust 2000 lijnen bevatten en heb je zelfs alleen nog maar de laatste 24 uur.
(Wij gaan er dan ook vanuit dat je er op tijd achter gekomen bent.. of dat het een terugkerende hack(er) is.)
Waar je op moet letten:
Je zult gaan zoeken naar bepaalde woorden, dat kan je doen door het logbestand in je browser te openen of door je favoriete tekst-editor te gebruiken.
Als programmeur doe je dit natuurlijk met Notepad++ of een andere code editor waardoor je direct lijnen kunt markeren etc.
Nu je de logboeken kunt lezen én de hacker hebt gevonden én weet welke acties die hacker heeft ondernomen, kun je de gevolgen gaan terugdraaien van de hack.
In veel gevallen heeft de hacker bestanden geplaatst, of tekst-reclame. Die kun je verwijderen of middels het terugzetten van een backup ongedaan maken.
De hacker is binnengekomen, handmatig of met een script.. en dat zal weer gebeuren tenzij je de website beveiligt met een WordPress Antivirus plugin.
Configureer de plugin goed, volg alle stappen die nodig zijn om je WordPress veilig en hacker-proof te maken!
En zoals altijd, maak backups – backups, en nog meer backups!
De verbazing blijft groot wanneer we aangeven dat er dagelijks diverse pogingen gedaan zijn om een WordPress website van de klant te hacken.
Mijn website? Uit al die websites die er bestaan?
We zullen het zo simpel mogelijk proberen uit te leggen zonder er een heel technisch verhaal van te maken.
(De meeste blogs van ons lopen zo in detail dat zelfs de hard-core programmeur het niet meer volgt)
Iedere website die op Google te vinden is, heeft simpelweg te maken met pogingen om in te breken. Hierbij worden bestanden en url’s getest.
Zie het als een crimineel die even kijkt of je achterdeur open staat.
Wij hebben op moment van schrijven meer dan 200 artikelen waarbij veel gaan over de methodes om de hackers geen kans te geven.
Wil je jouw website laten beveiligen?
Wij zorgen ervoor dat je website geen ongewenste bezoekers (hackers en hackbots) toestaat. Ze worden geregistreerd, geblokkeerd en kunnen hun scripts niet op je website uitvoeren!
Wij hebben een zeer uitgebreid service/onderhoudspakket zodat je geen zorgen meer hebt over je website!
Klik hier als je de onderhoud en beveiliging van je website aan WPbeveiligen over wilt laten.
Ik programmeer, onderhoud en beveilig WordPress bedrijfswebsites sinds 2007, 5 dagen per week.
Met zelfs 7 dagen per week. Maar met veel plezier, drukte en soms de overwerktheid (is dat een woord?) die je van een ondernemer kunt verwachten.
De kennis en ervaring met thema’s & plugins evenals WordPress is daardoor redelijk uitgebreid en groeit nog iedere dag.
Omdat geregeld aan mij gevraagd wordt wat ik zou doen met diverse aspecten van de website, vertel ik je:
Hou er rekening mee dat ik alle middelen zoals Notepad++, SmartFTP, Hosting, Photoshop, diverse licenties, thema’s en (Premium) plugins zelf al heb liggen. Ongeveer 50% van wat ik gebruik is Open Source, maar andere essentiële programma’s die ik gebruik kosten geld.
Dat is ongeveer hoe ik een site voor mijzelf opzet!
Volgens mij kan iedereen met deze basiskennis een goede WordPress website opzetten. Toch?
Geef je mening op Social media of hier bij het bericht.
Ik zou het leuk vinden als je laat weten of het gelukt is!
Google adwords heeft een streng beleid tegen malware. Wanneer je website Malware bevat wordt je Adwords Campagne stopgezet tot de Malware verwijderd is!
Malware is de verzamelnaam voor Malicious Software, wat op webgebied resulteert in ongewenste reclame of virussen die data proberen te stelen.
Websites worden dagelijks, en in sommige gevallen zelfs iedere minuut gescand op de teksten die weergegeven worden.
De broncode wordt hierbij gescand en de website wordt getest op Trojans, Phishing en meer..
Je advertenties worden onmiddellijk stopgezet waardoor je natuurlijk inkomsten en klanten misloopt.
Malware moet dan ook ten alle tijde worden vermeden.
Het is belangrijk om je website goed te beveiligen. Geautomatiseerde scripts die hun Malware op je website willen plaatsen, moeten geen kans krijgen.
Je WordPress website moet beveiligd worden op enkele diverse belangrijke punten:
Een goede plugin die je hierbij kan helpen is de WPbeveiligen Antivirus.
Onderneem direct actie, de website moet weer veilig zijn en vrij van Malware.
Huur ons in om je website hack-vrij te laten maken!
Wij verwijderen de Malware en beveiligen je WordPress website om herhaling te voorkomen.
Wij zorgen er tevens voor dat je Adwords Campagne zo snel mogelijk wordt aangezet, hiervoor volgen wij de procedures van Google of nemen wij contact op met Google Adwords.
