WordPress-hack oplossen

WordPress hack oplossen, les met Mitchell #3
Door Mitchell Bakker, specialist online media

 

In de driedelige blogserie WordPress les met Mitchell bespreekt online specialist Mitchell hoe u een WordPress hack oplossen oplossen.

 

Benieuwd naar het voorkomen van een WordPress-hack? Lees dan dit blogartikel. Weten hoe u een eventuele hack kunt monitoren? Ontdek het in deel 2 van de blogreeks.  Technische tips voor het oplossen van een WordPress-hack? Scroll dan verder en lees het derde artikel uit de reeks WordPress les met Mitchell.

 

Voordat u een hack kunt oplossen, is het natuurlijk handig om te weten of u inderdaad daadwerkelijk gehackt bent. Dit kan op verschillende manieren.

 

1. Check en probeer de hack te achterhalen

Google
Omdat Google al uw pagina’s bijhoudt, kunt u via de zoekfunctie gemakkelijk een overzicht van al uw pagina’s opvragen. Gebruik hiervoor de zoekqueries van Google. Hoe dit werkt? Als uw in het Google zoekveld “site:websiteurl.nl” invult, zal Google alle pagina’s van het gegeven domein tonen. Vanzelfsprekend dient u dus op de plek van ‘websiteurl’ uw eigen url in te vullen.

Als er vervolgens in de lijst met resultaten pagina’s staan die u niet bekend voorkomen en die vreemde tekst of tekens bevatten, komt dit waarschijnlijk door een hack.

Advertenties, spamlinks of hackmeldingen
Op het moment dat u op uw website advertenties tegenkomt die daar niet horen te staan, kunt u er vanuit gaan dat u te maken hebt met een hack. Vaak staan dit soort advertenties boven of onder in de website. De advertenties hoeven echter niet altijd goed zichtbaar te zijn omdat ze geen rekening houden met het uiterlijk van uw website. Het kan dus zo zijn dat het donkere tekst op een donkere achtergrond betreft waardoor de advertentie bijna niet te zien is. Zoekmachines zoals Google nemen deze content echter wel mee in de zoekresultaten en het is dus goed om hier scherp op te zijn!

 

Tools
Er zijn verschillende plug-ins en tools die checken of een website gehackt is. Google Webmaster Tools geeft een melding als er vreemde url’s op uw site staan. Verder zijn er plug-ins zoals Wordfence en Sucuri die de website continu testen op hacks. Deze plug-ins testen vooral de WordPress-bestanden zelf. Wanneer deze aangepast worden, krijgt de eigenaar een melding dat er iets mis is. Zo kunt u zo snel mogelijk het probleem oplossen (lees meer over deze plug-ins in blog 2 uit deze reeks).

 

Klanten
Sommige hacks baseren hun gedrag op de zogenaamde gebruikersrol van de WordPress-gebruiker. Hierdoor kan het voorkomen dat u als administrator (admin) er niets van merkt als de site gehackt is terwijl uw klanten of medegebruikers van de site er wel last van hebben. Dit komt omdat de hack zichzelf verbergt op het moment dat u als admin ingelogd bent. Wanneer u meldingen krijgt van klanten of gebruikers dat ze advertenties zien of misschien zelfs doorgestuurd worden naar vreemde sites, kunt u dit het best testen door als gebruiker in te loggen.

Het kan voorkomen dat u als admin niets merkt van een hack terwijl gebruikers er toch last van hebben

Stappenplan voor hack oplossen
Als u weet dat u gehackt bent, wilt u natuurlijk weten waar dit door komt. In dit bericht vindt u een goed stappenplan om aan te houden bij het achterhalen van de oorzaak.

 

2. Back-ups & hostingpartij
Als uw website vanwege een hack spam aan het versturen is, zal een goede hostingpartij u hier snel van op de hoogte brengen. Doordat de server van uw hostingpartij de spam aan het versturen is, wordt deze server op een blacklist geplaatst. Bijna alle e-mails van deze server komen dan automatisch in de spam terecht. Daardoor is de kans groot dat uw hostingpartij de website in een soort quarantaine plaatst. Als de hack opgelost is, zullen zij de site dan weer online zetten.

 

Back-ups & hostingpartij
Vrijwel alle hostingpartijen maken back-ups van hun servers. Dit doen ze zodat ze alles terug kunnen zetten als hun servers crashen. Is uw site gehackt? Grote kans dat uw hostingpartij de site kan terugzetten naar de status van voor de hack. Dit lukt meestal alleen als u er snel bij bent.

Aanvullend kan uw hostingpartij vaak aangeven wanneer de site begonnen is met het versturen van spam. U kunt dan vervolgens zelf nagaan of u op dat moment een plug-in hebt geïnstalleerd of bijvoorbeeld een update hebt doorgevoerd. Zo kunt u snel achterhalen waar de fout zit. (Lees meer over het belang van een goede hostingpartij in blog 2 uit deze blogreeks).

 

 

3. Bestanden vergelijken, verwijderen & updaten
Sucuri is een van de plug-ins die kan achterhalen welke bestanden er voor het laatst aangepast zijn en welke WordPress core-bestanden er aangepast zijn. Een goede handleiding hierover  is te vinden op de Sucuri-website.

 

Geïnfecteerde bestanden vervangen & WordPress updaten
Zodra de geïnfecteerde bestanden gevonden zijn, maakt u een back-up van de website. Een snelle manier om geïnfecteerde bestanden te vervangen is door een nieuwe WordPress-installatie over uw huidige installatie te zetten. Dit kan door de nieuwste versie te downloaden vanaf de site van WordPress. Deze versie pakt u uit (unzippen) en plaatst u via de ftp-server in de hoofdmap van de website. Zo worden alle core-bestanden van WordPress overschreven en zullen eventuele aanpassingen verdwijnen.

 

WordPress plug-ins
De WordPress installatie is nu weer schoon. Dit betekent echter niet dat de plug-ins ook vrij zijn van malware of lekken. Check en update deze ook indien mogelijk.

 

4. Pas wachtwoorden, Salt & Secret Keys aan

WordPress wachtwoorden
Zorg ervoor dat admin-accounts na een hack direct hun wachtwoorden wijzigen. Het kan namelijk voorkomen dat een hack (of hacker) binnen is gekomen in uw WordPress-omgeving via een admin-gebruiker en vervolgens een eigen gebruiker heeft aangemaakt. Sorteer of filter binnen WordPress uw gebruikers en vervolgens op beheerders en kijk of alle gebruikers bekenden zijn. Informeer beheerders om wachtwoorden te wijzigen of wijzig deze zelf voor hen.

 

FTP- en database-wachtwoorden
De mogelijkheid bestaat ook dat een hacker toegang heeft gekregen tot een FTP-account of tot de database van de website. Wijzig daarom voor de zekerheid ook het FTP-wachtwoord en de database-inloggegevens. Vergeet deze gegevens niet opnieuw in te vullen in het wp-config.php-bestand. (Lees meer over het wp-config.php-bestand in deel 1 van deze blogreeks).

 

Salt & Secret Keys
Om ervoor te zorgen dat wachtwoorden niet leesbaar zijn in de database, worden ze omgevormd. Dit wordt gedaan door Salt Keys. Aan de hand van een random code worden wachtwoorden omgevormd en kunnen ze niet meer gelezen worden. Op het moment dat u gehackt bent, kunnen deze keys gebruikt worden om in uw WordPress-site te komen. Daarom is het belangrijk dat deze keys zo snel mogelijk veranderd worden. De keys staan in de wp-config.php  en kunnen via deze site opnieuw gegenereerd worden.

Pas na een WordPress-hack altijd direct alle wachtwoorden aan

 

5. Whitelisten website
Op het moment dat u (ongewenst) spam aan het versturen bent, zult u vrij snel op een blacklist geplaatst worden. Dit is erg vervelend omdat alle e-mails die u verzendt dan standaard bij de ontvanger in de spam komen. Achterhalen of uw site op een zogenaamde blacklist staat? Voer een zogenaamde blacklist check uit. Vervolgens kunt u aan uw hostingpartij vragen of zij uw domein uit de blacklist kunnen halen. De mogelijkheid om url’s als opgeschoond aan te geven, bestaat ook in Google Webmaster Tools.

 

6. Scan of check de website met een tool
Tot slot kunt u het beste een dag of drie na de hack een zogenaamde Malware scan laten uitvoeren. Meestal kan een goede hostingpartij dit voor u regelen. Een andere optie is om de Sucuri Malware scan uit te voeren. Immers: nu de gehele site weer de oude is, is het de bedoeling dit ook zo te houden!

 

Meer lezen?
In de eerste twee artikelen uit deze blogreeks leest u meer over:

#1 WordPress hack voorkomen

  1. wp-config instellen
  2. htaccess bestand & ftp bestandsrechten
  3. WordPress themes, plugins gebruik & updates
  4. WordPress gebruiker accounts & login
  5. Website firewall https://sucuri.net/website-firewall/

#2 WordPress hacks monitoren

  1. Goede hostingpartij
  2. Google webmastertools
  3. Wordfence of Sucuri

Vragen?
Vragen over een WordPress-website of zelf een WordPress-hack oplossen? Neem gerust contact op, wij helpen je graag verder!

Geef een reactie

Kan ik je ergens mee helpen?
1