Gehackt

/in /door

Het komt helaas vaak voor dat een WordPress site gehackt wordt. Laatst had ik er weer mee te maken bij een site van een non-profit organisatie. De vraag was of ik de site een update kon geven, maar bij het inloggen aan de admin-zijde ondervond ik problemen.

Inloggen ging niet meer, of er verscheen een hoop onzin op het scherm. Dan weet je in eerste instantie niet wat er mis gaat; verkeerde template, mist er ergens een bestand? Uiteindelijk via de filemanager van Plesk ontdekt dat er vreemde bestanden aanwezig waren en dat het bestand index.php was gewijzigd. Daar maar eerst eens mee aan de slag gaan.

In vele mappen, zelfs op plekken waar je het niet verwacht, kwam ik bestanden tegen die daar niet thuis horen. Deze heb ik allemaal opgeruimd. Daarbij kon ik kijken bij een andere WordPress installatie of die vreemde bestanden ook echt nodig waren. Maar aan de datum en soms aan de inhoud kon ik opmaken dat die bestanden er ook echt niet horen.

Ook in de root map van de website stonden enkele bestanden die niet thuishoren in een standaard WordPress installatie. Maar het ergste was wel dat de bestanden .htaccess en index.php besmet waren. Het vreemde was dat de besmetting meteen na het opschonen weer terugkwam. Ook het verwijderen en terugzetten van die bestanden had geen zin. De oplossing was dat de site eerst uitgeschakeld diende te worden, omdat kennelijk de kwaadwillende software in het geheugen actief bleef. Iedere wijziging van het bestand index.php werd zo door de software weer ongedaan gemaakt.

Nu rest alleen nog de vraag waar de besmetting vandaan kwam. De verwachting is dat een onveilige plug-in de oorzaak is geweest, maar welke plug-in is lastig te achterhalen. Daarvoor zal eerst in de logbestanden gedoken moeten worden; het vervelende is dat de besmetting al weer een paar weken geleden heeft plaatsgevonden en de logbestanden gaan niet zover terug.

Natuurlijk kunnen we wel een paar eenvoudige lessen leren uit deze ellende:

  • zorg ervoor dat alle software (plug-ins, WordPress, thema’s) altijd up-to-date zijn. Het is een open deur, maar het is wel waar.
  • zorg voor veilige wachtwoorden en wijzig deze ook met enige regelmaat
  • verwijder software die niet meer gebruikt wordt
  • installeer Wordfence, of een ander beveiligingspakket. Het is geen garantie tot een virusvrij leven, maar wel een goede stap in de juiste richting
  • gebruik tweetraps authenticatie voor het inloggen.

Maar dit lijstje kan je overal op internet vinden.