WordPress hulp – Wat als je WordPress website gehackt is?

WordPress hulp – Wat als je WordPress website gehackt is?
datum-geschreven 30 dec 2014

Wat zijn mogelijke indicaties dat je WordPress website gehackt is?

  1. Als de website gedurende dagen/maanden zeer traag laadt is je WordPress website mogelijk gehackt. (Test de snelheid: Speedtest)
  2. Als je WordPress website je onverwachts doorstuurt naar een onbekende website.
  3. Wanneer je hosting provider de WordPress website offline haalt wegens spammen.
  4. Als de bezoekersresultaten in analytics laten zien dat er grote aantallen “bezoekers” van landen als china komen terwijl de website Nederlands is.
  5. Als de website niet meer verschijnt terwijl er geen aanpassingen of updates gedaan zijn.

Wat is er gebeurd als je WordPress website gehackt is?

Als je WordPress website gehackt is heeft een script een onbeveiligde opening gevonden waarmee het bestanden heeft kunnen wijzigen of neerzetten op de server.

Aangezien WordPress website open source is kunnen schrijvers van een simpel hackscript kijken waar de lekken zitten en die gebruiken.

Deze lekken kunnen in plugins zitten, maar ook in je thema of in de bestanden van WordPress.

Let op! De scripts die ervoor gemaakt zijn om WordPress websites te testen op mogelijke lekken zijn geautomatiseerd. Deze worden door personen over de hele wereld geschreven met als doel dat ze reclame voor hun eigen website of producten kunnen maken bij massa’s websites.

Het lawine effect van een hack

Een php bestand dat geschreven om WordPress websites te hacken kan simpelweg eenmalig op de server van een vreemde gezet worden en zal zichzelf verspreiden.

Het begint met 1 website, de sneeuwbal en als die eenmaal gaat rollen en zich op meerdere websites (kortom servers) verspreid gaat het zeer snel en vermenigvuldigd het bereik van een hack zich totdat je uiteindelijk een lawine aan scripts overhoud die websites testen en besmetten.

Al die scripts doen uiteindelijk aanvragen op de website (en dus server) waardoor bestanden zo vaak aangeroepen worden dat zelfs een goedbeveiligde website traag wordt van de aanvragen.

Wat voor personen schrijven nu hackscripts/virussen?

De schrijvers van de scripts zijn zowel tieners die snel rijk willen worden over de rug van een ander als ook “arme maar briljante programmeurs” in landen waar misschien geen werk is. Ze zitten thuis en kunnen redelijk anoniem deze cybercrime opzetten. Ze hebben nog niet eerder een WordPress website gehackt van iemand die ze kennen, en vinden het vaak onschuldig “vermaak” of financiële noodzaak waardoor ze zichzelf niet als cybercriminelen zien maar eerder als bedenkers van “iets groots” wat succes heeft.

Wat kun je doen tegen deze scripts/virussen als je website gehackt is?

Deze kun je opzoeken en verwijderen, maar let erop dat je altijd eerst een backup maakt van de website voordat je bestanden verwijderd.

De bestanden die een script heeft geplaatst zijn vaak slim geplaatst tot wel 3 mappenstructuren diep. Denk hierbij aan plekken zoals de httpdocs/wp-content/plugins/de-plugin/incl/

De namen van de bestanden wisselen vaak waardoor de serversoftware ze niet kan herkennen. Enkele voorbeelden die ik vaak tegen kom op websites die gehackt zijn:

  • Object.php
  • Incl.php
  • Article.php
  • Index.html

Maar ook gegenereerde cijfers of letters die op het moment van de besmetting worden gegenereerd.

Dan krijg je wisselende bestandsnamen als:

  • 15738.php
  • rfjrjgh.php

Deze bestandsnamen kunnen door de wisselende namen dus niet als herkenningspunt worden toegevoegd aan de database van de serverbeveiliging.

Kan de server die hack bestanden dan niet herkennen en verwijderen op basis van de inhoud?

Een server kan het verschil niet zien tussen plugins die wel mogen emailen zoals bijvoorbeeld contact forms 7 en een script dat gemaakt is om spam te versturen. Ook al detecteerd hij de functie die potentieel gevaarlijk is, hij zal de werking ervan niet blokkeren.

Is een beveiligings plugin voldoende om een hack te voorkomen?

Een plugin die ontwikkeld is om WordPress te beveiligen verkleint de kans dat scripts toegang kan krijgen tot je website.

De plugins zetten schrijfrechten goed en passen de standaard WordPress waardes aan die het meest gebruikt worden door scripts en hackers, de iThemes Security PRO NL verzend je zelfs een e-mail wanneer bestanden onverwachts aangepast worden, wat een teken is dat er een script actief is op de server.

De beveiligings plugins die geschreven zijn zoals iThemes Security PRO NL houden de meeste scripts tegen. Maar scripts die zeer goed in elkaar zitten en door een intelligen team gecodeerd zijn bereiken veel websites en vinden soms alsnog een manier om bij de server of de database te komen.

Wat is de volgende stap nadat je de hackscripts van de website/server hebt verwijderd?

Het verwijderen van de bestanden is enkel nog het oplossen van het gevolg, de oorzaak en het lek zitten nog in de website en je WordPress zal beveiligd moeten worden om herhaling te voorkomen.

Op mijn website www.wpbeveiligen.nl kun je meer tips lezen over hoe je WordPress kunt beveiligen.

En je kunt een beveiligingspakket kiezen waarbij wij besmette bestanden verwijderen, de website beveiligen en je kunt voordelig 3-6-12 maanden extra garantie nemen.

Meer WordPress: , ,

De meeste artikelen worden geschreven door Mathieu Scholtes, de eigenaar van WPBeveiligen. Op de hoogte blijven van het laatste WordPress nieuws? WordPress tips? WordPress aanbiedingen?
Connect dan op Linked-in!

Heb je een vraag? Tip of gedachte? Deel die!

Abonneer
Breng me op de hoogte
guest
1 Reactie
Inline Feedbacks
Bekijk alle reacties
Johan weinem

mijn website werkt meer dan 5 jaar goed maar ik heb dan ook weinig plugins actief staan. heb het wel bij een ander gezien die had een hack en kwam daar maar niet vanaf 🙁