Gehackte site (WordPress)

Uit De Vliegende Brigade
Ga naar: navigatie, zoeken

Hoe weet je of je site gehacked is?

  • Berichten van je hosting provider
  • Waarschuwingsscherm in Google Chrome
  • Dubieuse gebruikersaccounts.
  • Rare content
  • Waarschuwingsemails van Wordfence
  • Resultaten Wordfence-scan
  • Check op Google mbv. site:example.com of er gekke dingen tussen staan.

Let op:

  • Misschien is je site niet gehacked, maar een andere site op dezelfde server
  • Misschien heb je iets te lang aan één stuk gewerkt. Neem 'n pauze en verifiëer het nog een keer.

Oorzaak achterhalen

  • Access-logs analyseren [1] - Heel interessant!

Opschonen

  • Zie schermafdrukken Wordfence voor ideeën
  • Zie Find (Linux) hoe je recursief bv. php-bestanden verwijdert
  • Check .htaccess-bestanden.

Gehackte plugins opschonen

WordFence heeft hier een goede rapportage over + uitleg via link (zie bronnen). Aanpak: Verwijder de verdachte plugins, en installeer ze opnieuw via CLI of met copy-paste vanuit een niet-besmette WordPress-instantie. Ik heb ook goede ervaringen met het verwijderen/vervangen van de specifiek genoemde bestanden

Chrome waarschuwingsscherm opgedaan maken

Casus lente 2018

Kort na elkaar meerdere sites die gehacked waren, terwijl ze qua onderhoud helemaal bij waren!

Hier begint het mee. De site heeft overigens niets met js.localstorage.tk te maken
Wordfence meldde dat er van buiten WordPress een admin-account is aangemaakt. Dat krijgt een vervolg!
Andere site, vergelijkbare situatie
Indrukwekkend hoe Wordfence de problemen vaststelt
En dit is de andere site - Paar verschillen
Geüploade php-bestanden zijn van gebruiker www-data (=webserver)

Vermoedelijke oorzaak

  • Precieze oorzaak onbekend. Naar ik aanneem, een niet-bijgewerkte plugin of theme
  • In het bijzonder vermoed ik Hoshi, omdat daar diverse vreemde bestanden stonden.

Zie ook

Bronnen