Berichten

backdoor wordpress

Wat is een backdoor in WordPress?!

Backdoors zijn ontzettend irritant!

Zo, om even met de (achter) deur in huis te vallen ūüėČ

Maar wat is een backdoor eigenlijk?

Een backdoor is een stukje code wat ervoor zorgt dat een hacker of een script toegang heeft tot je WordPress admin of tot je server.
Dit kan een bestand zijn dat de gegevens van je wp-config doorgeeft via de mail, of de ftp gegevens.

Welke gegevens je in de wp-config vindt

Hier staan je database gegevens. Als een hacker of script toegang heeft tot je database kan het pagina’s aanmaken en berichten en zelfs een nieuwe administrator gebruiker!

Wat een hacker of script met de FTP gegevens kan doen met je website

Dit zijn de gegevens waarmee meerdere bestanden geplaatst kunnen worden. Die bestanden kunnen login gegevens doorsturen via de e-mail of spam versturen.

Is er geen Nederlandse benaming voor een “backdoor”?

Jawel, dit is simpel gezegd achterdeurtje. Maar je kunt van de statistieken aannemen dat er meer internationale programmeurs zijn die Backdoors programmeren dan Nederlanders.

Hoe vind je een backdoor?

De meest effectieve manier om een backdoor te vinden is het vergelijken van de WordPress core bestanden en de server bestanden. Op NERD niveau weet ik uit mijn hoofd welke bestanden (wp- staat er o.a in de core voor) er in WordPress horen te staan dus zie ik nieuwe bestanden direct. Vooral omdat hacks internationaal zijn en dan van die rare bestandsnamen hebben.

Waarom heb je het steeds over een hacker OF script?

Als je een belangrijke website hebt wil een hacker nog de moeite doen om je WordPress website persoonlijk te hacken en een backdoor te plaatsen. Maar 95% van de aanvallen op websites en de geplaatste scripts/backdoors zijn geautomatiseerd door scripts geplaatst.

Als je veel moeite hebt gedaan om een website te ontwikkelen, deze wellicht door een ontwerper in Photoshop een mooi ontwerp hebt laten maken en deze hebt laten inprogrammeren ben je vaak van mening dat dit professioneel gedaan is en niet snel gehackt zal worden. Zeker niet door een $t0mme robot! Maar helaas de realiteit is anders. Ook al hebben de ontwikkelaars en programmeurs verstand van WordPress.. beveiliging is een hele andere wereld! En ik kan het weten. Ik ontwikkel al 10+ jaar websites maar elk jaar dat ik dieper de wereld induik van hackers en code leer ik meer, en vooral: verbaas ik me over de creativiteit van hun codering.

Ik heb de backdoor verwijderd. Probleem opgelost?

Nee!! (sorrie)

Een backdoor is neergezet via een lek in de plugins of server of WordPress dus die komt er net zo snel weer als dat je hem verwijderd hebt. Lang leve de ge-automatiseerde digitale wereld..

Kan WordPress niet beter beveiligd worden?

Jawel, daarvoor moet gekeken worden welke plugins je gebruikt en welke lek zijn. Of dat je WordPress eneorm achter loopt, dan moet die worden ge-update.

Wat doen jullie van WPbeveiligen dan tegen backdoors?

  1. Opzoeken
  2. Bestand-voor-bestand nakijken
  3. WordPress opnieuw installeren
  4. Plugins verwijderen en opnieuw op de server zetten
    Alleen updaten zorgt er NIET voor dat hack-bestanden en backdoors verwijderd worden
  5. Beveiligings en monitoring plugin installeren en configureren
  6. Bestandsrechten corrigeren
  7. Usernames controleren op rechten
  8. En meer, maar een hacker hoeft ook niet alles te weten!

Hoe vindt WPbeveiligen een hack of backdoor?

,

Een hackfile of backdoor in de 1500 tot 3500 bestanden vinden die een WordPress website gemiddeld aanstuurt lijkt onmogelijk.

Zoeken naar een speld in een hooiberg

Als je website lekken bevat waarmee bots bestanden op je server kunnen zetten dan verspreiden ze die het liefst zo onopvallend mogelijk.
Denk hierbij aan de uploads mappen, dan zit je toch al snel 5 mappen diep vanaf de root.

Als je dan bedenkt dat hackbestanden in php worden neergezet tussen al je andere bestanden met telkens nieuwe bestandsnamen en trucs begrijp je dat er kennis en ervaring nodig is om die bestanden te vinden.

Enkele tips hoe ik dat doe wil ik je wel geven, maar al mijn overige tips blijven natuurlijk wel “het geheim van de smit”.

Methode 1 РHack bestanden vinden op wijzigings & aanmaakdatum

Bestanden die via een bot worden toegevoegd zijn vaak op een ander tijdstip toegevoegd als de rest van je bestanden. In 99% van de gevallen later na de start van je website. Hoe bekender je website wordt des-te grote de kans dat deze gevonden wordt door bots die graag schadelijke bestanden inzetten.
Let dus op het tijdstip van wijziging of plaatsing.

Methode 2 – Wat hoort er niet thuis in WordPress?

Zoek de verschillen, ik weet zo ongeveer uit mijn hoofd 80% van alle bestanden in WordPress horen te staan. Als ik daar dan ineens een options.php of model.php of 312.php zie staan weet ik al hoe laat het is en kijk ik even welke code erin staat voordat ik op delete druk.

Methode 3 – Scannen op de code in de bestanden

Ik heb diverse scanmethodes die zowel geautomatiseerd als handmatig kunnen kijken in diverse bestanden tegelijk.
Hiermee zoek ik dus op:

  • frames
  • base64
  • eval
  • cookie
  • inject
  • p.a.c.k.e.d
  • display: none / visibility: hidden
  • En meer

Methode 4 – Search in de database

Met een programma en de gebruikelijke servertools kijk doorzoek ik de mysql database op backdoors, users die er niet horen, content die niet zichtbaar is en meer.

Methode 5 –¬†Google webmaster tools

Google webmaster tools laat vaak als eerste van allen weten wanneer een website malware en phishing bestanden bevat. Daar kan handige informatie uit komen zodat je de hack kunt aanpakken.

Dit zij enkele methodes die ik gebruik. Er zijn er veel meer en elke website vereist zijn eigen exta aanpak om een hack te vinden. Websites met meer als 10 plugins vereisen weer controles op diverse plekken die je niet zou verwachten. Oude serversoftware of open servers vereisen ook een andere aanpak.

Globaal gezien komt het erop neer dat de websites eerst grondig worden nagekeken en ge-evalueerd waarna er een steeds verfijnderde search plaatsvind om alles eruit te halen en uiteindelijk te beveiligen.

Let op: het verwijderen van een spamscript, malware syntax of frame is alleen het begin. Het dichten van het lek en beveiligen van de website is het uiteindelijke doel!