Featured image for Al mijn WordPress websites zijn gehackt, wat nu? in category ANTIVIRUS

Al mijn WordPress websites zijn gehackt, wat nu?

/8 Comments/in , , , , ,

Inhoud van dit artikel

Het komt geregeld voor dat plugins of thema’s lek raken en er zo malware in meerdere WordPress websites tegelijk terecht komt.
Wat moet je doen als je de verantwoording hebt voor 5 of 10 websites? Of wanneer je er wel 80 tot 100 beheerd?

Meerdere websites tegelijk gehackt, hoe kan dat?

Wanneer 1 plugin op meerdere websites gebruikt wordt of wanneer er met 1 vast thema gewerkt wordt, is de kans groter dat er meerdere websites in 1 keer besmet raken.
Hackbots voeren namelijk zoekopdrachten uit naar bepaalde plugins met een lek en gebruiken het lek om de website te vullen met reclame, spam, malware, backdoors en meer ellende.

1 hack – 1 oplossing?

Je zou denken dat je de hack op elke website in dezelfde bestanden of mappen kunt vinden. Of op 1 vaste plek in de database.
Helaas gebruiken hackscripts de techniek om malware op willekeurige plaatsen neer te zetten.

Het willekeurig plaatsen van hacks doen de hackscripts om te voorkomen dat de server het onderschept

Kortom, 1 hack moet je op verschillende manieren oplossen en verwijderen.

Hulp om hacks te vinden in je websites

Malcare
Malcare is een dienst waarmee je meerdere websites kunt controleren op hacks.
Je moet ze wel 1-voor-1 aanmelden maar eenmaal aangemeld, laat Malcare exact zien in welke bestanden de malware zit.
Het is dan aan jou om te bepalen of je de hacks/malware er handmatig uit wilt halen, of dat de bestanden volledig verwijderd moeten worden.

De sucuri malware scan
De malware scanner van Sucuri laat je zien welke hacks je hebt. Dit helpt je op weg om hacks te vinden en te verwijderen.

Google webmaster tools
De beveiligingspagina van de Google webmaster tools geeft je informatie op welke pagina’s malware, phishing of ongewenste reclame te vinden is.

Is er een One Click Fix om alle gehackte websites in 1x hack-vrij te maken?

Het liefst zien we allemaal een “one click fix”. Waarbij de computer/software de hacks opspoort en verwijdert of corrigeert.
Helaas is er geen one-click-fix aangezien het verschil tussen code van een hacker en gewenste code niet door software te berekenen is.

De tools die wij hierboven beschreven maken het wel een stuk gemakkelijker om de hacks te vinden tussen de honderden bestanden en de duizenden regels code maar je zult de hacks alsnog zelf moeten verwijderen of aanpassen.

Hoe weet je dat je websites gehackt zijn?

Als WordPress gehackt is zie je dat niet meteen, de hacks zelf zijn meestal goed verborgen door een hacker en zijn script/virus.

Meestal zie je de uitwerking van de hack.

  1. Je website wordt doorgestuurd naar een andere website.
  2. Je website toont reclame of links van een andere website in je website. (Waarom hackers dat doen lees je hier.)
  3. Je kunt niet meer in je administratiepanel komen.
  4. Je website is volledig veranderd van style of toont zelfs een pagina van de hacker.
  5. Je website is traag.
  6. De beveiliging van je computer geeft een melding van Phishing, een Trojan of andere aanvallen op de pc.

Je kunt een scan doen als je niet zeker bent of je websites gehackt zijn:
Rescan.pro – Goed in het herkennen van malware, hacks.
Sucuri malware scanner – Toont je of de site malware bevat en toont vaak ook welk type malware
IsItHacked – Ziet iframes en andere sluwe trucks van hackers eerder dan de vorige scanners

De hack verwijderen, waar ga je naar op zoek?

Hackers gebruiken verschillende methodes om malware te verstoppen voor de virusscanner van de server en voor jou zodat je het er niet gemakkelijk uit kunt krijgen.
Zie het als een dief, die wil ook liever niet gezien worden en heeft daar ook verschillende trucs en vermommingen voor.

Base64
Dit is code die uitgevoerd wordt middels specifieke aanvragen op bestanden. De virusscanner doet die aanvragen niet waardoor de code verborgen blijft.
Base64 is een lelijke lijn code zonder opmaak, meestal bevat die de declaratie base64 en/of een eval.
Let erop dat sommige plugins ook base64 gebruiken. Met base64 kun je namelijk hele afbeeldingen in code omzetten!

Nette code verweven tussen huidige codering
In sommige situaties schrijven hackers nette code met professionele opmaak waardoor je het verschil nauwelijks kunt zien tussen code die in de website hoort en die van de hacker.

Javascripts
Door middel van 1 klein stukje code laden ze externe bestanden in. In die bestanden staan alle hacks. Omdat de code extern ingeladen wordt, is die niet te vinden in je website. Gelukkig geeft de eerde genoemde Sucuri & rescan scanner die javascripts wel aan.

Code in vermomde bestanden
Code in “afbeeldingen”. Een png bestand is een afbeeldingstype die de server niet als code zal uitvoeren. Maar met de juiste codering kunnen hackers de png openen en uitvoeren als script. De server en andere antivirus programma’s en vooral mensen kijken over die “onschuldige” afbeeldingen in de uploads mappen heen!

Hoe je kunt voorkomen dat al je WordPress sites gehackt worden

  1. Installeer op elke website een antivirus plugin
    Elke website heeft bescherming nodig tegen geautomatiseerde hacks, virussen en/of malware.
  2. Maak geregeld back-ups
    Maak bij voorkeur dagelijks backups, minimaal 1x per week. Behoudt minimaal 4-8 weken aangezien het soms een week of 3 duurt voordat je erachter komt dat er malware in je website terechtgekomen is via een hack.
  3. Controleer de websites regelmatig
    Controleer de logboeken van de beveiligingsplugins op verdachte bestandswijzigingen, inlogpogingen etc
  4. Hou plugins en thema’s up-to-date
    De programmeurs van plugins brengen geregeld updates uit waarbij ze beveiligingslekken oplossen
  5. Gebruik niet meer dan 8-15 plugins per website
    Elke plugin is een beveiligingsrisico
  6. Hou premium plugins en thema’s ook up-to-date
    Zorg dat de licenties geldig zijn, premium plugins worden mogelijk beter onderhouden door de programmeurs maar ze zijn ook doelwit van hackers.
    Hackers downloaden Nulled versies van de premium plugins en kunnen die zo gratis testen op mogelijke beveiligingsrisico’s
  7. Zet elke website op een uniek hostingpakket of gebruikersaccount
    We zien geregeld meerdere websites in 1 hostingpakket. Het risico daarvan is dat alle sites gehackt zijn als de ftp/database gegevens uitlekken.
    En wat nog het meeste voorkomt is dat de malware in alle mappen geplaatst kan worden.
    Voorkom dit met losse hostingpakketten of gebruikers onder een vps. Zo beperk je de schrijfrechten en kunnen sites onderling geen malware uitwisselen.

 

Featured image for Verbeter je WooCommerce webshop met deze checklist in category BEVEILIGEN

Verbeter je WooCommerce webshop met deze checklist

/8 Comments/in , , ,

De eerste indruk

Net als in een fysieke winkel moeten je producten er aantrekkelijk uitzien in de woocommerce webshop:
Volgens statistieken bepalen klanten in de eerste 5 seconden of ze door willen gaan met het uitzoeken van producten.

  1. Heb je duidelijke foto’s
  2. Een duidelijke beschrijving van het product

woocommerce producten goed fout

De uitstraling van je webshop:
Hoewel de bezoeker voornamelijk naar de producten kijkt bepaald het onderbewuste (het gevoel) ook een groot deel van de aankoop.

  1. Is je WordPress webshop goed te gebruiken op de mobiel en tablet (40% van de bezoekers gebruikt een mobiel of tablet)
  2. Heb je een duidelijk logo
  3. Is de tekst goed leesbaar (niet te klein)
  4. Passen de kleuren van je webshop bij je producten (Oranje-geel is leuk een reiswebsite maar niet bij horloges bijvoorbeeld)

uitstraling website

Gebruikersgemak

Kan de bezoeker met 1 muisklik zien:

  1. Wie verantwoordelijk is voor de webshop (Over ons pagina)
  2. Wat het retourbeleid / de garantie is
  3. Hoe anderen je diensten of producten ervaren (referenties)
  4. Of je een keurmerk hebt

Snelheid

Hoe snel laadt je WooCommerce webshop:
De top 3 van grootste redenen om de webshop weg te klikken blijken Pop-ups te zijn, misleidende teksten en een trage webshop.

  1. Weet je wat de laadtijd van je webshop is (Zou maximaal 7-10 seconden moeten zijn)
    Check de snelheid van je webshop nu op gtmetrix.com
  2. Heb je 1 optimalisatie-plugin (Denk aan Autoptimize, WP-Rocket)

snelle website

Google

Hoe staat het ervoor in Google:
70% van de bezoekers komen via Google. De beschrijving die ze zien bij hun zoekresultaat bepaalt voor een deel of ze je webshop bezoeken.

  1. Heb je een SEO plugin (Denk aan Yoast Seo)
  2. Zijn de beschrijvingen van producten en pagina’s aangepast (standaard pakt die de eerste zinnen van je webshop)
  3. Heb je een sitemap (Ook via Yoast te regelen, bij advanced)
  4. Hoeveel pagina’s zijn er geïndexeerd, zijn al je producten geïndexeerd

google webshop goed fout

Beveiliging

Is je webshop veilig voor klanten:
Klanten vullen hun betaalgegevens in, soms persoonsgegevens, huisadres en dat mag niet in handen van hackers vallen

  1. Is je webshop voorzien van een https certificaat (SSL)
  2. Is je WordPress admin beveiligd (omgeleid, beschermd tegen brute-force)
  3. Is je webshop up-to-date (plugins, WordPress core, het thema)
  4. Bevat je webshop of WordPress geen malware (Check die op rescan.pro)

Wil je zeker zijn dat je WooCommerce webshop veilig is? Laat je webshop dan door ons beveiligen.

 

 

Featured image for 7 seconden in het leven van een hack-bot in category ANTIVIRUS

7 seconden in het leven van een hack-bot

/3 Comments/in , , ,

Computers zijn snel, nietwaar?
Binnen enkele seconden voeren ze miljoenen berekeningen uit.

We bekijken 7 seconden in het leven van een hack-bot, om te zien waarom en hoe snel je website besmet kan worden met Malware.

0 tot 0,70 Seconden: De tijd die nodig is om 204.000.000 resultaten in Google te tonen met zoekterm webshops

0,70 tot 4,5 seconden: De tijd die nodig is om een website te laden

4,5 tot 5,8 seconden: De tijd die nodig is om alle broncode van de website te vergelijken met databases van lekke plugins, WordPress releases, webshop lekken

5,8 tot 6,3 seconden: De tijd die nodig is om een gerichte injectie te doen op de server/website middels de gevonden lekken (Reclame, links e.d.)

6,3 tot 6,6 seconden: De tijd die nodig is om een “achterdeurtje” te plaatsen en een bericht naar het logboek van de hacker te sturen

Hack succesvol – $tijdstip – $URL – $omzet

Dit is 1 script, die voornamelijk wacht op de laadtijd van je website. Ondertussen draait de hack-bot nog 1000 processen met exact dezelfde truc op 1000 andere websites.

Wanneer het script zichzelf succesvol heeft gekopieerd spreken we van een virus

Dan begint het hele verhaal met de 7 seconden weer overnieuw, alleen dan via meerdere servers.
300.000 injecties/hacks in 24 uur via 1 script is daarom niet ongewoon.

WordPress plugins die hack-bots tegenhouden

Wat een hack-bot in 7 seconden doet, kan een antivirus plugin net zo snel tegenhouden, terugdraaien of voorkomen.
Zorg er daarom voor dat je website direct na lancering beschikt over goede beveiliging, heb je dat nog niet geregeld?
Installeer dan nu een beveiligingsplug-in!

Meer over gratis en premium beveiligingsplug-ins voor WordPress kunt je hier lezen.

Featured image for Wanneer heb je te veel plugins? in category BEVEILIGEN

Wanneer heb je te veel plugins?

/4 Comments/in , , ,

Om direct veel website-bouwers op de kast te jagen: 30+ plugins is te veel.

De klant heeft natuurlijk wensen,
De website moet een snelle Ferrari zijn met de laadruimte van een vrachtwagen en het zitcomfort van de trein.

Hoeveel plugins is gebruikelijk?

10 tot 20, maximaal!
Liever 10 dan 20.

Waarom zou je het aantal plugins beperken?

Elke plugin laadt een stuk code in, en maakt de website zo een stukje trager.
Dan hebben we het nog niet eens over plugins die van mindere kwaliteit zijn, die kunnen je website met secondes vertragen.

Goh, wat is nou een seconde

Als je website binnen 4-5 seconen laadt is het geen probleem. Maar elke plugin voegt daar 0.1 tot 0.3 seconden aan toe.
Als je 30 plugins aan hebt staan en je website er 8-12 seconden over doet om te laden, haken de bezoekers af.
Google zal je website ook een lagere ranking in Google geven.

Hoe beperk ik het aantal plugins?

  1. Maatwerk – zet niet voor elke functie een plugin in.
  2. Voorkom dubbele plugins – Yoast SEO is goed, je site wordt niet beter gevonden met 3 seo plugins.
  3. Bedenk van tevoren wat je website moet kunnen – dan kan de programmeur daar rekening mee houden

Veiligheid

Naast de snelheid van de website is de veiligheid ook ver te zoeken met 30+ plugins.
Waarom?

Wekelijks raken plugins lek, vinden hackers manieren om je website over te nemen of vol te zetten met reclame.
Check deze website maar eens: https://wpvulndb.com/plugins

Ik wil een snelle website èn een veilige website – maar ook veel functies!

De snelheid van je website
Neem dan een goed hostingpakket, denk aan een VPS (Virtual Private Sercer), DDS (Dedicated) met SSD (Solid State Drive) en voldoende ram geheugen. (Vergeet de CPU niet maar met een dds zit dat vaak wel goed)
Technisch verhaal, vraag maar aan de webhoster.

De veiligheid van je website
Laat je website beveiligen en beheren. Wij controleren of de plugins nog veilig zijn, houden ze up-to-date en houden je website in de gaten. De blacklists, snelheid en meer!

Een goede programmeur
Een goede programmeur weet wat hij doet, en hoe hij je website snel kan houden. Als je een uitgebreide website wilt met veel functies is een goede programmeur onmisbaar!

Featured image for Wat is PatchMan in category ANTIVIRUS

Wat is PatchMan

/0 Comments/in , , , , ,

Wat is PatchMan?! Als je een website hebt kun je wel eens een e-mail ontvangen dat PatchMan datalekken gedicht heeft. PatchMan is een software die door webhosters gebruikt wordt om de server veilig te houden. Let op: PatchMan werkt aan het cms zelf. Niet aan de plugins & themas! Het ontstaan van PatchMan PatchMan is […]

Read more
Featured image for Gutenberg, de nieuwe standaard tekstbewerker in WordPress in category BEVEILIGEN

Gutenberg, de nieuwe standaard tekstbewerker in WordPress

/5 Comments/in , ,

Gutenberg, de nieuwe standaard tekstbewerker in WordPress Het goede  nieuws Voor iedereen die houdt van eenvoudig, gewoon 1 blok tekst zonder toeters en bellen heeft WordPress alsnog de reeds bekende editor. Het is nu simpelweg 1 blok geworden. De verleiding & vooruitgang Je zult zien dat je na het schrijven al snel op het plusje […]

Read more
Featured image for Een wampserver installeren (Windows) in category BEVEILIGEN

Een wampserver installeren (Windows)

/8 Comments/in ,

Een wampserver stelt je in staat om webapplicaties zoals WordPress te testen.
WordPress werkt op PHP & MySql.

We nemen je in enkele stappen mee hoe je een omgeving op kunt zetten zodat je met WordPress kan experimenteren, of een website op kunt zetten zonder dit op je hostingomgeving te moeten doen.

Enkele voordelen van een WAMP omgeving:

  1. Je hebt geen FTP software nodig om de bestanden online te zetten
  2. Het werkt allemaal een stuk sneller
  3. Een WAMP omgeving is compleet met phpmyadmin

Wij zetten de WAMP speciaal op om veiligheids issues te testen die we niet bij de webhost op de server willen testen.
Tevens doen wij dit op een virtuele machine, maar dat terzijde.

WAMP downloaden

Wij downloaden de WAMP software op deze website.
De installatie wijst zichzelf.

Je krijgt na de installatie nog wel de keuze tussen welke browser en text-editor je voorkeur heeft. Wij gebruiken het liefst Chrome en Notepad++

Wamp gebruiken

WampServer

Wamp opent na de installatie met een bescheiden icoontje in de taskbar. Eigenlijk merk je er niets van en zit je te wachten op een beginscherm 😉
Met je linker muisbutton klik je op het icoontje in je taskbar en dan komt er een menu tevoorschijn waar je als nieuweling hoofdpijn van kunt krijgen.

Maar ren nog niet weg! Het is simpeler dan het lijkt.

Wat je ziet

  1. Localhost
    Dit is het “webadres” waar je website te vinden is.
  2. Phpmyadmin
    Dit is een tool om je database te beheren.
  3. Adminer
    Ook een beheertool voor de database.
    Sidenote: Sommige beweren dat Adminer beter is dan Phpmyadmin.
  4. Your virtualhosts
    Dat is als je meerdere “websites hebt”. Gebruik ik ook nooit.
  5. WWW Directory
    De map waar je WordPress in gaat plaatsen.
  6. Apache
    Daar draait php op, niets aan veranderen.
  7. PHP
    Je kunt de versie van php veranderen, denk aan 5.6, of 7.
  8. MySql
    Niets aan doen.
  9. MariaDB
    Niets aan doen.

Zoals je ziet kan er van alles, maar je gebruikt slechts (1) het webadres, (2) PhpMyadmin & (5) de www directory.

Het is wel belangrijk dat alle services aan staan.
Bij mijn virtuele machine ontbraken er enkele Microsoft onderdelen waardoor ik Missing DLL errors kreeg. Ik heb die Ge-Googled, de pakketten gedownload van Microsoft, geïnstalleerd en daarna kon ik de diensten Apache, MySql en Wamp aanzetten.

WordPress installeren op WAMP

WordPress downloaden en in WAMP zetten
Je downloadt WordPress die je zoals in stap 5 (Van “wat je ziet”) genoemd in de www directory plaatst. (Uitgepakt natuurlijk, aangezien die als zip gedownload wordt)

Start phpmyadmin
Je start phpmyadmin (Zie stap 2 van “wat je ziet”)

Dan krijg je een username en password voor je neus waarvan je denkt: wat moet ik daar nu weer invullen?!
Het internet staat vol met die vraag en het antwoord is dan ook:
User: root
Pass: leeg, gewoon blanco laten. Niets invullen.

Een nieuwe database aanmaken
Daarna maak je voor het gemak een nieuwe database aan.

test database

WordPress koppelen aan de database
Nu ga je WordPress koppelen aan de database zodat WordPress alle gegevens ergens daar opslaan.
Ga hiervoor naar je webbrowser en vul localhost in als url. (Of klik op het Wamp icoontje en dan op (1) localhost)

Dan zie je het onderstaande scherm,

database connectie

De gegevens die je invult
Dit is heel anders dan online. Aangezien deze website alleen zichtbaar is op jouw computer zijn er geen wachtwoorden nodig.
Voor het gemak stellen ze dat zo in, je kunt de wachtwoorden zo niet kwijtraken en je hoeft ze niet allemaal te onthouden.

Zoals je ziet is de database naam de eerder aangemaakte naam “testomgeving”. De gebruikersnaam is weer “root”.
Wachtwoordveld leeg laten.
Hostname laten staan op localhost.
Tableprefix kun je aanpassen, dit is standaard wp_ maar ik heb de gewoonte dat aan te passen naar wens. Het maakt niet uit welke prefix je daar neerzet. Als het maar kort is.

Je hebt je eigen testomgeving!

Nu heb je een testomgeving waar je WordPress en plugins kunt testen zonder vertraging van de server. Zonder dat je FTP software nodig hebt!

Ps: Als je in je favoriete browser naar localhost gaat, kun jij als enigste de WordPress website zien.

Veel plezier 🙂Voorbeeld testomgeving

 

Featured image for Het experiment: Een nulled beveiligingsplugin downloaden in category ANTIVIRUS

Het experiment: Een nulled beveiligingsplugin downloaden

/5 Comments/in , , , , , , ,

Als je nog niet bekend bent met Nulled plugins: het zijn “gratis” premium plugins die malware bevatten.
Nulled plugins worden door criminelen gekocht, voorzien van malware en dan gratis aangeboden.

De paradox

Een antivirus plugin die hacks en hackers buiten moet houden, die gehackt is?!

Dat is hetzelfde als een beveiliger in je winkel zetten van Dief & Co

Een beveiliger die iedere ochtend netjes op tijd komt met een lege rugtas, graag overwerkt en met een volle rugtas weer naar huis gaat.

Schijnveiligheid!

Het bijzondere is nog dat er genoeg mensen zijn die illegaal premium plugins downloaden zonder daar netjes voor te betalen en dus in de val van de hackers trappen.
Velen hebben niet door dat de website vanaf het moment dat de plugin actief wordt, spam verstuurt of bezoekers de eerste sessie doorsturen naar een website waar je kunt gokken of andere vreemde items kunt kopen.

Dat is nadelig voor je positie in Google en voor je omzet aangezien je bezoekers jouw website zo niet te zien krijgen.

Het experiment

Wij krijgen geregeld te maken met WordPress sites die gehackt zijn doordat de programmeur de plugins niet netjes gekocht heeft maar gewoon illegaal gedownload heeft.
Het leek ons interessant om eens te kijken wat we binnenhalen als we een Nulled plugin voor de beveiliging van WordPress downloaden.

Ervaring
We hebben veel te maken met gehackte websites en weten exact wat we doen. We raden het NIET aan om illegale of Nulled plugins of andere software te downloaden.

Maatregelen
Uiteraard hebben wij geen zin in virussen en we willen natuurlijk geen problemen met de server.
Om die reden downloaden we de Nulled plugin op een virtuele computer en zetten we de plugin op een afgesloten server.

Het vinden van een Nulled plugin
Er is niets makkelijker dan googlen en een Nulled plugin downloaden. Je kunt het zo gek niet bedenken of ze bieden het aan. De nieuwste releases en de duurste plugins.

Maar.. laat je niet in de maling nemen, hoe betrouwbaar en professioneel de website er ook uit ziet: de plugins bevatten hacks!

Het is de eerste download al raak!

De eerste Nulled plugin scan ik met VirusTotal. Het is direct raak.

Wat je op de onderstaande screenshot ziet zijn de meest rotte hacks: trojans & backdoors.
Trojans werken stiekem op de achtergrond van je website zonder dat je het doorhebt.

De naam is afgeleid van het paard van Troje. (Wie dat verhaal niet kent, lees het verhaal hier)

resultaat scan

Trojans, backdoors, malware..

Als je de plugin activeert, zet je de toegang naar je server & WordPress volledig open. De hackers of een geautomatiseerd script zullen een seintje krijgen welke website nu weer gehackt (beschikbaar) is.
Ze kunnen werkelijk alles doen wat ze willen:

  1. Betaalgegevens aanpassen in WooCommerce naar hun eigen illegale bankrekening
  2. Gebruikersnamen en wachtwoorden opslaan en doorsturen
  3. Reclame tonen
  4. Teksten aanpassen
  5. Bezoekers doorsturen
  6. En nog veel meer..

Maar er is toch serverbeveiliging?

Je zou zeggen dat de beveiliging van de server, van de webhost dit toch wel doorheeft!
Maar dat is niet zo. De server scant wel bestanden, maar de truc is dat de plugins de code fragmenteren en uitvoeren middels bepaalde volgordes. Die volgorde kent alleen de plugin zelf waardoor de server die niet kan of zal uitvoeren om erachter te komen dat er ongewenste code in staat.

De code wordt naast de fragmentatie ook nog eens in een onleesbare taal geschreven die alleen uitgevoerd kan worden door de hack zelf.
Het resultaat is tevens niet te beoordelen als zijnde wel-of-niet gewenst aangezien php veel serverrechten heeft.

Alleen de meest opvallende en veelvoorkomende hacks worden gedetecteerd waarna ze weggeschreven worden als “suspected”.

Hacks hebben wel de gewoonte om de serverkracht uit te buiten, en alles op volle toeren te laten draaien. Wanneer de hoster daar achter komt, zullen ze je hostingpakket uit zetten totdat je het probleem opgelost hebt.

De hoster kan overigens niet verantwoordelijk gehouden worden voor hacks die in jouw website zitten. Je huurt te webruimte, en als je die niet goed beheert of om welke reden dan ook gehackt wordt, is het aan jou om dit op te lossen.

Aangezien dat ingewikkeld is, heb je hulp nodig of moet je het herstellen van je website laten uitvoeren door professionals.

We graven dieper in de plugin

We zijn even afgedwaald maar we graven dieper in de plugin om te zien waar die trojans en backdoors zitten. Kunnen we ze vinden?

Op zoek naar gefragmenteerde en gecodeerde code
Vaak worden serveropdrachten gecodeerd in Base64 en daarna uitgevoerd met Eval. Dat is het eerste waar we op zoeken.
We zien enkele regels code verschijnen (notepad++ Find in files).
Maar die lijnen code zien er onschuldig uit.

Opvallende bestanden
Een techniek die we toepassen wanneer we een gehackte website herstellen is door simpelweg te kijken naar opvallende bestanden.
Vreemde bestandsnamen of php bestanden die niet in bepaalde mappen (Zoals de css map) thuishoren verraden vaak de malware/hacks.

We sluiten een map uit met css, een map met afbeeldingen en een map met txt’s.
Maar niet zo vlug, de afbeeldingen worden ook wel eens uitvoerbaar gemaakt!! (Wij zien geen php extenties in de afbeeldingen en gaan dus verder)

Uitsluiten van bestanden
We hebben diverse bestanden uitgesloten, en besluiten de overige bestanden nog maar eens te scannen.

Het valt op dat 2 van de 12 antivirusdiensten met het aanpassen van de naam al niet meer doorheeft dat het om de eerder geteste malware gaat.

Kortom, ze stellen vast dat een plugin vals is en onthouden alleen de naam zonder de inhoud vaker te scannen.
Dat is ook een van de redenen waarom hacks/virussen zo lang kunnen doorgaan, wanneer er kleine wijzigingen in code of volgorde-van-uitvoeren aangebracht worden, zijn ze onherkenbaar voor diverse antivirus diensten.

Een paar mappen diep
Veel hacks zitten een paar mappen diep, zodat ze minder snel gevonden worden. Ergens tussen de “images” de “uploads/2015/etc” of  “includes/colors/etc”
In dit geval niet, de trojans hebben ze direct in de “core” bestanden van de beveiligingsplugin gezet.

Gevonden!

Uiteindelijk hebben we de hacks gevonden, de code was netjes geschreven.
Er is goed over nagedacht, er zijn meerdere alternatieve methodes ingezet om je website open te zetten voor de rest van de wereld (en vooral voor de hackers zelf).

De code tonen we uiteraard niet.

Conclusie

Nulled plugins bevatten nog steeds trojans. Bij deze soort van hacks is de code netjes weggewerkt met opmaak zodat hij niet te onderscheiden is van de reguliere code.

We doen binnenkort nog meer tests, zoals:

  1. Heeft de antivirus plugin door dat het zelf een hack/virus bevat?
  2. Kunnen andere antivirus plugins de hack vinden in deze plugin?

Blijf op de hoogte van de nieuwste berichte via Linked-in, of via onze nieuwspagina!

Side-note 1: hackers

En het mag duidelijk zijn dat hackers en hun criminele activiteiten niet gewaardeerd worden.
De romance van een hacker zoals je die in films ziet, is niet hoe het in de realiteit eraan toe gaat.

Een hacker is iemand die anderen benadeelt om zelf wat winst te maken.
Het frustreert de eigenaren van de website, het frustreert de webhosting en uiteindelijk kost het geld en tijd.

Side note 2: Illegale downloads

Tja, als je er zelf voor kiest om iets illegaal te downloaden.. ben je eigenlijk net als de hackers.
Je probeert je voordeel te doen met een plugin of thema zonder de maker ervan zijn verdiende geld te geven.
We hebben allemaal wel eens iets gedownload van internet toch?

Maar nu weet je in ieder geval wat je NIET illegaal van internet moet downloaden.

Ps: wij kopen software waar we mee werken netjes. Al is het maar om problemen te voorkomen 😉
Veiligheid boven alles!

Featured image for Malware op de website, wat is dat? Hoe kom ik van malware af? in category BEVEILIGEN

Malware op de website, wat is dat? Hoe kom ik van malware af?

/6 Comments/in , ,

Ik heb malware op mijn website. MALWARE.. wat moet ik me bij malware voorstellen? Kun je malware eten?

Korte uitleg: wat is malware?

Malware is malicious software die door criminelen gemaakt is. Malware hoort niet in je website te staan.
Malware heb je in alle vormen: virussen, trojaanse paarden, rootkits, spyware, dialers, botnets, malicious websites, tracking cookies en meer.

Hoe malware in je website terecht komt

Via een lekke plugin, een verouderde plugin of WordPress versie komt malware gemakkelijk in je website.
Malware is niet door mensen aangestuurd en pakt dus iedere website die het kan vinden op Google. Ook jouw hobby-site of je kleine bedrijfswebsite.

Wat doet malware?

Malware “in je website” is eigenlijk niet correct. Het toont zich soms wel eens visueel in je website wanneer het links naar andere website plaatst maar 9/10x is de malware stiekem op de server actief.

Je website heeft namelijk de toegang en rechten om de server opdrachten uit te laten voeren. Als malware eenmaal “in je website zit” en dus op de server staat, kan de malware opdrachten aan de server geven.
Die opdrachten van malware variëren:

  1. Malware kan: Spam verzenden naar e-maillijsten (Duizenden e-mails).
  2. Malware kan: Andere websites zoeken op internet en besmetten.
  3. Malware kan: Je inloggegevens doorsturen naar een hacker.
  4. Malware kan: Betaalinformatie in je WooCommerce webshop aanpassen naar dat van een hacker.
  5. Malware kan: Virussen aanbieden aan de bezoekers van je website.
  6. Malware kan: Pagina’s aanmaken in je website die naar wachtwoorden van klanten vragen.
  7. En meer..

Je weet nu WAT malware is, HOE malware in je website terecht komt en wat de malware DOET.

Maar nu het belangrijkste,

Hoe kom ik van malware af?

We hebben het hier specifiek over malware in je website. En nog specifieker, malware in je WordPress website.

Dit is een stappenplan die je kunt volgen om de malware uit je WordPress website (en dus van de server) te verwijderen:

  1. Stel vast op welke datum de malware voor het eerste in je website gekomen is
    Dat kun je zien aan de wijzigingsdatum van bestanden op de server, wanneer dat niet duidelijk is kun je je eigen inzicht gebruiken.
  2. Zet een backup terug van minimaal 1 week voordat de malware in je website gekomen is
    Mogelijk kun je een backup terugzetten van het moment dat je website nog malware-vrij was.
    Sommige webhosts bewaren backups van je website, soms 1 week maar soms ook 1-2-3 maanden.
    Houdt er rekening mee dat een backup een stap terug in de tijd is, zo zijn ook nieuwsberichten, gebruikers, woocommerce aankopen en dergelijken bij de oude backup NIET up-to-date. Maak daarom eerst een backup van dit moment voordat je er 1 terugzet.
  3. Controleer de website op verdachte bestanden en activiteiten & backdoors
    – Kijk welke bestanden er op de server staan, of die er wel thuishoren.
    – Kijk welke gebruikers er administratierechten hebben en of dit wel klopt.
    – Verwijder backdoors, een backdoor is ook malware maar dan 1 die specifiek de deur openhoudt naar je server om meer malware toe te laten.
    Er worden geregeld backdoors geplaatst, nog voordat een hack werkelijk zichtbaar wordt. Die backdoor is letterlijk een open deur voor de malware om de injectie en opdrachten weer uit te kunnen voeren.
  4. Update je WordPress, plugins en het thema
    Zorg ervoor dat alles up-to-date is.
    TIP: Wij vervangen de plugins en WordPress vaak volledig op de server voor nieuwe downloads, zo weet je zeker dat er geen ongewenste malware of lijnen code op de server staan.
  5. Meld je website aan bij Google webmaster tools
    Ga in de webmaster tools van Google naar het beveiligingscentrum en kijk of de website daar niet als gehackt/besmet met malware bekend staat.
  6. Controleer je website gratis bij Sucuri
    Scan je website met de Sucuri Malware Scanner

Oké je website is nu vrij van malware (nemen we aan).

Hoe zorg je ervoor dat malware niet meer in je website kan komen?

Beveilig je website middels een beveiligingsplugin. Het is niet volledig waterdicht maar stopt wel 90% van alle geautomatiseerde malware.

Weet je niet hoe je een goede beveiliging op kunt zetten, of is het je niet gelukt je website malware-vrij te krijgen?

Neem dan contact op

Wij doen dit werk 7 dagen per week!
Wij bieden betaalbare oplossingen mét garantie

Even bellen of mailen

Featured image for Help mijn WordPress is gehackt! in category BEVEILIGEN

Help mijn WordPress is gehackt!

/8 Comments/in , , , , ,

Je hebt misschien veel geld uitgegeven om een website voor je bedrijf te laten maken in WordPress.
Of je hebt zelf veel tijd geïnvesteerd om een website op te zetten met WordPress.

En dan.. is je WordPress website ineens gehackt

Hoe kan dat?

  1. Is de WordPress website niet goed gemaakt?
  2. Heeft iemand het op jouw website gemunt?
  3. Zijn de inloggegevens gelekt?

99.9% van alle WordPress websites worden gehackt door een virus, script of malware

Dat zijn programma’s die duizenden website tegelijk testen en hacken. Zonder dat er ook maar een persoon aan te pas komt.

Is WordPress zo lek dan?

Nee, WordPress is niet het probleem.

Het probleem is de plugins die gebruikt worden.
De plugins worden niet altijd ge-update en de programmeurs houden de plugins niet altijd veilig.

Plugins zijn vaak de oorzaak van je gehackte WordPress website

Hackers kunnen veel plugins gratis downloaden en testen op beveiligingslekken.

Wanneer hackers een beveiligingslek hebben gevonden in de plugin schrijven ze een script dat dagelijks grote aantallen WordPress websites nakijkt op de aanwezigheid van die plugins waarna er een injectie of commando plaatsvindt via die plugin.

Via plugins kunnen virussen injecties en opdrachten uitvoeren (Technisch)

Injecties? Opdrachten?
Dat zijn de termen die beschrijven hoe een virus, script of stuk malware te werk gaat.

De injectie
Via de lekke plugin wordt er in 1 keer allemaal ongewenste data in je database of op de server geïnjecteerd.
Het kost een virus slechts 1 seconde om reclame in AL je pagina’s en berichten te zetten – vandaar de injectie.

De opdracht
Via een lekke plugin kan een virus opdrachten geven aan de server. Op die manier kunnen diverse bestanden geplaatst worden die malware bevatten.

Denk hierbij aan malware die je server aanzet tot het spammen van andere websites of e-mailadressen van personen.

Mijn WordPress website is simpelweg gehackt, wat kan ik hieraan doen?

De gevolgen van een hack moet je terugdraaien, daarna moet je de WordPress website beveiligen zodat het niet meer kan gebeuren.

Wij doen dit 7 dagen per week, wij verwijderen de hacks en beveiligen WordPress websites voor een vast betaalbaar tarief.
Met garantie. Klik hier als je jouw website snel door WordPress professionals wilt laten herstellen en beveiligen.

wordpress zelf herstellen

wordpress zelf herstellen

Je gehackte WordPress website zelf herstellen

Het stappenplan om je gehackte WordPress website te herstellen:

  1. Stel vast op welke datum je website gehackt is
    Wat is moment dat de eerder genoemde injectie of opdracht is uitgevoerd?
    Dat kun je zien aan de wijzigingsdatum van bestanden op de server, wanneer dat niet duidelijk is kun je je eigen inzicht gebruiken.
  2. Zet een backup terug van minimaal 1 week voordat de hack heeft plaatsgevonden
    Mogelijk kun je een backup terugzetten van het moment dat je website nog niet gehackt is.
    Sommige webhosts bewaren backups van je website, soms 1 week maar soms ook 1-2-3 maanden.
    Houdt er rekening mee dat een backup een stap terug in de tijd is, zo zijn ook nieuwsberichten, gebruikers, woocommerce aankopen en dergelijken bij de oude backup NIET up-to-date. Maak daarom eerst een backup van dit moment voordat je er 1 terugzet.
  3. Controleer de website op verdachte bestanden en activiteiten & backdoors
    – Kijk welke bestanden er op de server staan, of die er wel thuishoren.
    – Kijk welke gebruikers er administratierechten hebben en of dit wel klopt.
    – Verwijder backdoors.
    Er worden geregeld backdoors geplaatst, nog voordat een hack werkelijk zichtbaar wordt. Die backdoor is letterlijk een open deur voor de malware om de injectie en opdrachten weer uit te kunnen voeren.
  4. Update je WordPress, plugins en het thema
    Zorg ervoor dat alles up-to-date is.
    TIP: Wij vervangen de plugins en WordPress vaak volledig op de server voor nieuwe downloads, zo weet je zeker dat er geen ongewenste bestanden of lijnen code op de server staan.
  5. Meld je website aan bij Google webmaster tools
    Ga in de webmaster tools van Google naar het beveiligingscentrum en kijk of de website daar niet als gehackt bekend staat.
  6. Controleer je website gratis bij Sucuri
    Scan je website met de Sucuri Malware Scanner

Is je gehackte WordPress website nu hack-vrij?

Als je gehackte website nu hack-vrij is en je zeker weet dat hack-bots geen toegang hebben tot je website, begint het beveiligen.

  1. Controleer je plugins op beveiligingslekken
    Op wpvulndb.com is een zoekfunctie waarmee je kunt kijken of je plugins momenteel lek zijn. Of dat ze vaak gehackt zijn in het verleden. Als een plugin onveilig is, kies dan een alternatief.
  2. Installeer en configureer een beveiligingsplugin
    Een beveiligingsplugin houdt veel hack-bots tegen. Het is wel belangrijk om hem goed in te stellen, neem daar de tijd voor.
  3. Monitor je website wekelijks of minimaal 1 keer per maand
    Kijk de logboeken van de beveiliging geregeld na, van de server om te zien of alles nog goed gaat.

Heb je geen tijd om je website na te kijken?

Om de logboeken te lezen? Om Google webmaster tools of andere scans te doen?

Laat dat aan ons over! Voor een voordelig maandelijks tarief zorgen wij voor je WordPress website.
Wij werken 7 dagen per week met WordPress, al meer dan 10 jaar.

Kies voor gemak en zekerheid: Laat je WordPress website door ons beveiligen.