Hoe wij een WordPress hack vinden en verwijderen

Hoe wij een WordPress hack vinden en verwijderen
datum-geschreven 22 aug 2018

Als je WordPress gehackt is, kun je er vanuit gaan dat er een bestand of stukje code in de website geplaatst is waarmee de hacker spam kan versturen of waarmee hij reclame kan tonen in je website.

Er zijn momenteel 1000-en hacks ontwikkeld door kwaadwillende personen, de zogenoemde hackers.
Iedere hack is anders geschreven. Dit om te zorgen dat scanners ze niet herkennen.

Hoe vinden wij dan die code of dat bestand tussen honderden WordPress bestanden en alle code van plugins en WordPress?

Wij hebben diverse technieken waarmee we hacks in WordPress opsporen en verwijderen

We zullen je uitleggen welke methodes wij gebruiken om hacks te vinden:

  1. Met behulp van de Wpbeveiligen Detectie (Plugin)
  2. Wij kijken de server gestructureerd na
  3. Wij gebruiken software waarmee het lezen van code gemakkelijker wordt
  4. Wij gebruiken de kennis en ervaring die we opgebouwd hebben de afgelopen jaren
  5. Het doel van de hack verraad de plaatsing
  6. We bepalen of het handwerk is of automatisering

1. Met behulp van de WPbeveiligen Detectie plugin

De WPbeveiligen Detectie plugin die wij op maat gemaakt hebben scant de server en laat zien of er Eval, Base64 of iFrames in de website zitten.
Sommige plugins en thema’s gebruiken deze codering ook maar het is vooral typerend voor hackscripts!

Wij kijken de regel na die volgt na een base64/eval lijn en herkennen het illegale stukje code. (Een kwestie van ervaring)

2. Wij kijken de server gestructureerd na

Map voor map, bestand voor bestand. Wij kijken gestructureerd elke map na op bestanden die daar niet thuis horen.
Aangezien we al jaren met WordPress werken (Sinds 2007) weten we welke mappen php bestanden horen te bevatten en welke niet, daarnaast herkennen we de namen, ongewenste mappen en andere trucs.

Het nakijken van de website op bestandsniveau doen we met een checklist waarbij wij aanvinken welke map/bestanden we nagekeken hebben. Zo weten we zeker dat elke map nagekeken is.

3. Extra software

Met diverse programma’s (zoals Notepad++) kunnen we de code gekleurd uitlezen, dit maakt het voor ons gemakkelijker om de belangrijke stukken code goed door te lezen. Zowel file-voor-file vergelijking als zoekopdrachten behoren tot de methodes om hacks te vinden.

4. Kennis en ervaring

Door wekelijks WordPress websites schoon te maken en sinds 2007 met WordPress te werken, weten we hoe hackers te werk gaan.
We hebben honderden WordPress websites opgezet, hersteld en beveiligd. Op diverse server-omgevingen.

5. Het doel van de hack verraad de plaatsing

Als er links in de teksten staan, kun je ervan uitgaan dat het in de content geplaatst is. Als buiten de tekst te zien is, denk aan de header of footer kun je de zoektocht beginnen in het thema.

6. We bepalen of het handwerk is of automatisering

Wij zien snel of het om een geautomatiseerd hack-script gaat of dat er daadwerkelijk iemand aan te pas is gekomen om de website te hacken.
Bij 999 van de 1000 websites is het geautomatiseerd werk, dat betekent dat een lek in de plugins, het thema of in een verouderde WordPress versie toegang heeft gegeven tot de server.

is er geen One-klik-fix?

Je zou verwachten dat er programma’s zijn die met 1 klik de hacks detecteren en verwijderen.
Dit is helaas niet het geval.

Hackers veranderen hun scripts, virussen continu waardoor een scanner de hack niet zal herkennen.
Software kan simpelweg niet bepalen of een lijn code in een plugin, thema of je WordPress core bestanden goed of slecht is.

Wist je dat? 1 bestand kan alle hacks weer terugzetten..

Een hacker kan er met 1 lijn code voor zorgen dat backdoors, spam scripts na verwijdering direct teruggezet worden. Dat is de reden waarom veel webdesigners, serverbeheerders en programmeurs niet van de hacks afkomen. Ze verwijderen het gevolg maar het virus blijft op een andere locatie  op de server staan.

De hack verspreidt zich en heeft de meeste kans om te blijven functioneren.

De uitdaging

Zoals je hebt kunnen lezen, zijn er verschillende uitdagingen bij het vinden en verwijderen van hacks.
Wanneer je ons aan het werk zet, zijn wij enkele uren aan het werk, en voeren wij diverse controles uit.
Daarna controleren/monitoren wij de website geregeld zodat je zeker bent dat je van de hacks af bent.

Wij geven de garantie dat je binnen 10 tot 48 uur van de hack af bent, en blijft!

Heb jij een gehackte WordPress website? Laat je website nu hack-vrij maken!

De meeste artikelen worden geschreven door Mathieu Scholtes, de eigenaar van WPBeveiligen. Op de hoogte blijven van het laatste WordPress nieuws? WordPress tips? WordPress aanbiedingen?
Connect dan op Linked-in!

Heb je een vraag? Tip of gedachte? Deel die!

Abonneer
Breng me op de hoogte
guest
4 Reacties
Inline Feedbacks
Bekijk alle reacties
Ilse

Als mijn website spam verstuurt, hoe kom ik daar dan achter? Degene die de spam ontvangen, kunnen die zien dat het van mijn website vandaan komt?

Jeroen

Regelen jullie dan ook dat er een goede anti-malware plugin wordt geinstalleerd?