WordPress is gehackt! Wat nu?

WordPress is gehackt! Wat nu?
datum-geschreven 17 feb 2016

Als je WordPress website gehackt is, kom je in een wereld terecht waar je als gewone WordPress gebruiker geen zicht op hebt.

95% van de WordPress ontwikkelaars die jaren lang websites ontwerpen en programmeren, staan voor raadsels als het gaat om beveiliging en hacks in WordPress.

Hoe komt dat?

De hacks die ontwikkeld worden komen niet allemaal uit de handen van een tiener op een zolderkamertje.

In landen zoals Rusland, Azië, China, America waar briljante mensen wonen worden veel hacks geprogrammeerd.
Die hacks worden via het internet verspreid en gaan daarna van server naar server, van website naar website.

Welke personen hacks maken:
✓ Programmeurs die geen werk meer hebben
✓ Teams uit voormalige webbureau’s die zonder werk zitten
✓ Sociaal geïsoleerde personen die 14 uur per dag achter de computer zitten
✓ Huisvrouwen die hun kinderen te eten moeten geven

hackers

Personen die weten hoeveel geld er te verdienen valt als je WordPress sites “voor je laat werken” door reclame te versturen of te linken naar websites met producten.

WordPress is gehacktWat was de motivatie?

Zoals je hierboven al hebt kunnen lezen zijn er diverse landen waar wel een computer beschikbaar is en internet maar niet voldoende werk. De motivatie is dus geld.

Maar een heel klein deel van de hacks is geprogrammeerd uit eerzucht, de wens om een “beroemde” hacker te worden.

WordPress is gehackt: Hoe vaak komt dat voor?

Als je bedenkt dat een hack van de Revolution Slider binnen 1 week meer als 100.000 lekke websites opleverde en er jaarlijks het 100 voudige aantal websites lek gaan en gehackt worden.. kun je concluderen dat websites redelijk vaak gehackt worden.

In een release bericht voor de 4.4 van WordPress org deze maand stond het volgende:
WordPress versions 4.4 and earlier are affected by a cross-site scripting vulnerability that could allow a site to be compromised.

Kortom weer een lek gevonden in WordPress, snel updaten dus! En wachten tot de hackers weer een nieuw lek hebben gevonden in de nieuwe release?

De Securi Brute Force Monitor toont:

Het aantal gemelde Brute Force aanvallen (Alleen al op de securi beveiligde sites) piekte het laatste half jaar van 2015 op 35-50 miljoen aanvallen per dag.
securi brute force

WPscan database van plugin & WordPress lekken

De teller van lekke plugins en WordPress releases staat nu op 4054. Helaas ook een groeiend aantal.

wpscan teller

WordPress is gehackt: Zeker weten?

Als er onverwachtse wijzigingen in je WordPress website te zien zijn, denk je wellicht direct: Mijn WordPress is gehackt!

Maar soms komt het door een plugin update of door een botsing tussen 2 plugins, of een collega heeft een aanpassing aan de website gedaan zonder dat te zeggen.

Het is dus belangrijk vast te stellen of de website echt gehackt is.

Vaststellen of je WordPress website gehackt is

Een goede scanner voor WordPress hacks is de Securi Malware scanner.
De Securi Malware scanner controleert je WordPress website op veel punten en geeft het vaak aan wanneer je WordPress gehackt is.

Maar 100% garantie geven ze niet en code op de server wordt niet allemaal gescand, daarom is het altijd belangrijk om ook deze onderstaande 4 punten te controleren.

  1. Er staan links in je website die er niet horen, denk aan reclame voor producten of datingdiensten
  2. Je website verstuurt spam naar onbekende adressen
  3. Je website verwijst op de mobiel of tablet naar een andere website
  4. Er zijn gebruikers aangemaakt met administrator rechten die je niet kent

WordPress is gehackt: de schade in kaart brengen

voorbeeld hacken

Het is belangrijk dat je erachter komt waar de hack allemaal invloed op heeft gehad, kijk hiervoor op de:

  1. Pagina’s
  2. Nieuwsberichten
  3. Database
  4. Admin gebruikers
  5. Code van het thema
  6. Bestanden op de server

Toelichting: Soms heeft een hack een injectie gedaan in de database waardoor elke pagina reclame toont, soms wordt het in de theme gezet en daardoor op elke pagina geladen.

In enkele gevallen worden er nieuwe gebruikers of backdoors aangemaakt.

Kijk hiervoor naar de wijzigingsdatum van de bestanden op de server, en voor de overige punten in je administratie panel van WordPress.

WordPress is gehackt: de website herstellen

Maak voordat je aanpassingen aan je website gaat verrichten altijd eerst een backup van alle bestanden op je server en de gehele database!!

Voor het herstellen van de website is het belangrijk dat je weet waar de hack te vinden is.

Als je de stappen hebt doorlopen voor het in kaart brengen van de schade, kun je beginnen met het herstellen van je gehackte WordPress.

Het herstellen van je WordPress website kun je op de volgende manier doen

  1. Zet de core bestanden van WordPress opnieuw op je server. Zo ben je er zeker van dat de hacks eruit zijn en dat je website up-to-date is.
  2. Probeer zoveel mogelijk plugins te vernieuwen.
  3. Vernieuw je thema indien mogelijk, let hierbij op dat je thema misschien codering op maat bevat en dat een nieuwe release van hetzelfde thema ook wel eens aanpassingen bevat.

Even tussendoor, een stukje positiviteit!

Wij van WPbeveiligen willen dit momentje even pakken om een positief punt van WordPress te belichten, te midden van alle ellende die je meemaakt als je dit leest wanneer je website gehackt is.

Het is namelijk zo dat WordPress gratis te downloaden is, en tevens meer dan 42.509 gratis plugins biedt!

Met de gratis en premium plugins die ontwikkeld zijn voor WordPress kun je als bedrijf tot ongekende grootte groeien zonder ongekende bedragen te betalen!

wordpress plugins

En vergeet ook niet de artikelen niet die WPbeveiligen schrijft om je op de hoogte te houden, je te behoeden voor de problemen van WordPress en om je te helpen je WordPress website te beheren.

Maar nu weer even verder tot de orde van de dag:

WordPress is gehackt: de gevolgen terugdraaien

Als je WordPress website gehackt is, heeft dat niet alleen gevolgen voor de weergave van je website maar ook op de status in Google en bij Blacklists.

Google kan je website weergeven als schadelijk.
google gehacktWanneer je website helemaal vrij is van hacks kun je de “Google webmaster tools” gebruiken om je website weer als veilig te laten markeren. Het kan dan nog enkele uren duren voordat je website weer als veilig in Google verschijnt maar het is de snelste manier.

Op de blacklist staan, verhindert het verzenden van mail.
geen mailHet is belangrijk dat je bij een dienst zoals de “mxtoolbox blacklist check” controleert of je op een lijst staat.
Als je op een blacklist lijst staat, komt je mail namelijk vaak niet bij anderen aan, veel mail filters gebruiken de blacklists als referentie of een verzender en de mails veilig zijn.
Als je op de blacklist staat, kun je een de-listing aanvragen.

WordPress is gehackt: Herhaling voorkomen

 

Voorkomen dat je WordPress gehackt wordt is het aller belangrijkste. Je WordPress website laten herstellen kost veel meer tijd en geld.

Een goede anti-virus voor je WordPress website en je server is belangrijk. De anti-virus houdt aanvallers tegen, houdt bij welke bestanden aangepast worden en kan injecties en hackpogingen voorkomen.

De meeste artikelen worden geschreven door Mathieu Scholtes, de eigenaar van WPBeveiligen. Op de hoogte blijven van het laatste WordPress nieuws? WordPress tips? WordPress aanbiedingen?
Connect dan op Linked-in!

Heb je een vraag? Tip of gedachte? Deel die!

Abonneer
Breng me op de hoogte
guest
7 Reacties
Inline Feedbacks
Bekijk alle reacties
Chantal

Zelf beheer ik een aantal websites van van clubjes die weinig geld hebben. Als we dan voor iedere website ook nog een onderhouds/beveiligens abonnement moeten afsluiten, kan dat flink oplopen. Het monitoren/updaten en beveiligensplugins installeren kan ik zelf wel doen. Maar als het dan toch mis gaat, lijkt me het inschakelen van een specialist wel handig. Als we dan, ook al hebben of willen we bij jullie geen abonnement nemen, kunnen/willen jullie dan ook tegen een redelijk tarief en op korte termijn een gehackte website die ik beheer, herstellen?

trackback

[…] is handig wanneer je WordPress gehackt wordt of wanneer je per ongeluk een plugin verwijderd, of wanneer de update van een plugin voor een […]

dwinden

@Karin

Website beveiliging is een specialisme.
Dat kun je dus beter overlaten aan de beveiligingsspecialisten zoals bij wpbeveiligen.nl

wpbeveiligen.nl zal de malware voor je kunnen opsporen en verwijderen.

Daarnaast zal een gedegen analyse naar hoe men de website heeft kunnen hacken bijdragen aan het voorkomen opnieuw gehackt te worden via dezelfde kwetsbaarheid.
Pas als de kwetsbaarheid waarvan de hackers gebruik hebben gemaakt bekend is dan kan die kwetsbaarheid verholpen worden.

Overigens kan niemand garanderen dat je website nooit meer gehackt wordt. Er worden steeds nieuwe kwetsbaarheden gevonden in de WordPress core, plugins en/of thema’s.

Maar met de 30 dagen garantie die standaard inbegrepen is bij de dienstverlening van wpbeveiligen.nl hoef je je geen zorgen te maken.

karin

hackers of scripts zoals jullie ze noemen hebben vorige maand een gebruikersnaam en wachtwoord aangemaakt in mijn wordpress. geen idee hoe ze daarbij kunnen maar ik heb die gebruikersnaam verwijderd en de berichten die door hun zijn aangemaakt. ze waren in het engels wat vreemd is aangezien ik een nederlandse website heb. ik heb net een scan gedaan met de sucur website die jullie vermelden en die geeft aan dat de site mogelijk gehackt is omdat er bestanden in de website staan die er niet horen… ik lees hier dat het kan helpen als ik de wordpress core opnieuw op de server zet. ik laat dat doen door mijn webdesigner. ik zal zijn naam niet noemen maar die heeft al veel aanpassingen gedaan en toch stond de hack er volgens secur nog. als ik jullie inhuur kunnen jullie dan garanderen dat de website echt vrij is en blijft van hacks want ik wordt er niet zo blij van dat de hackers elke keer in mijn site kunnen komen en die bestandjes die op de site staan. wij weet wat dat doet met mijn status in googe?!

Joppe

mijn wordpress is ook een keer gehackt toen heb ik een nieuwe opgezet. heel de site overnieuw anders lijk je er niet vanaf te komen maar die nieuwe verstuurd nu ook spam. wat kan ik daar aan doen?