Gehackte site (WordPress): verschil tussen versies

Hoe weet je of je site gehacked is?

• Berichten van je hosting provider
• Waarschuwingsscherm in Google Chrome
• Dubieuse gebruikersaccounts.
• Rare content
• Waarschuwingsemails van Wordfence
• Resultaten Wordfence-scan
• Check op Google mbv. site:example.com of er gekke dingen tussen staan.

Let op:

• Misschien is je site niet gehacked, maar een andere site op dezelfde server
• Misschien heb je iets te lang aan één stuk gewerkt. Neem 'n pauze en verifiëer het nog een keer.

Oorzaak achterhalen

• Access-logs analyseren [1] - Heel interessant!

Opschonen

• Zie schermafdrukken Wordfence voor ideeën
• Zie Find (Linux) hoe je recursief bv. php-bestanden verwijdert
• Check .htaccess-bestanden.

Chrome waarschuwingsscherm opgedaan maken

• Zie elders op deze wiki
• Submit site to Google Search? - https://www.google.nl/search?q=google+submit+url

Casus lente 2018

Kort na elkaar meerdere sites die gehacked waren, terwijl ze qua onderhoud helemaal bij waren!

Hier begint het mee. De site heeft overigens niets met js.localstorage.tk te maken

Wordfence meldde dat er van buiten WordPress een admin-account is aangemaakt. Dat krijgt een vervolg!

Andere site, vergelijkbare situatie

Indrukwekkend hoe Wordfence de problemen vaststelt

En dit is de andere site - Paar verschillen

Geüploade php-bestanden zijn van gebruiker www-data (=webserver)

Vermoedelijke oorzaak

• Precieze oorzaak onbekend. Naar ik aanneem, een niet-bijgewerkte plugin of theme
• In het bijzonder vermoed ik Hoshi, omdat daar diverse vreemde bestanden stonden.

Zie ook

• Gehackte site of server

Bronnen

• https://www.wordfence.com/docs/how-to-clean-a-hacked-wordpress-site-using-wordfence/
• http://crimesofthecenturies.com/index.php/2017/12/17/beware-wp-service-controller/
• https://blog.sucuri.net/2015/08/ask-sucuri-how-did-my-wordpress-website-get-hacked-a-tutorial.html
• https://cyberwarzone.com/2016/12/18/just-found-administrator-site-kicked/ - Handig!