Het wil nog wel eens voorkomen dat iemand met malafide scripts het voor elkaar weet te krijgen een website te infecteren met malware. Meestal is de oorzaak dat er iets niet up-to-date was (site/thema/plugin) of het gebruiken van een onveilige plugin.
In deze handleiding zullen we de stappen bij langs gaan die verstandig zijn wanneer je de dupe bent van dergelijke hacking.
- Backup terug plaatsen
- Herstel files van CMS, plugins en thema's
- Wachtwoorden aanpassen
- Updates uitvoeren
- Security aanscherpen
- Geen succes?
Backup terug plaatsen
Wanneer je erachter komt dat je site geïnfecteerd is, en je ziet dat de malware files recent geplaatst zijn, dan kan je het probleem mogelijk met een schone backup verhelpen.
Als je dit wilt doen moet je eerst alle bestanden uit je site-root verwijderen, oftewel: domains/voorbeeld.nl/public_html/
Wanneer alles verwijderd is, kan je een backup terug plaatsen van (ruim) voordat je vermoed dat de infectie optrad. (Vaak is malware namelijk al enige tijd aanwezig.)
Vervolgens kan je een backup terugzetten van zowel je bestanden als je database, zodat de synchroniciteit hiertussen behouden blijft.
Herstel files van CMS, plugins en thema's
Het zou ontzettend veel werk zijn om alle malware-bestanden stuk voor stuk op te sporen, en de kans dat je daarbij iets over het hoofd ziet is erg groot. Verreweg de meest efficiënte manier om de site van malware te ontdoen is daarom door er vanuit te gaan dat de malware "overal" zit. Voordat je aan de slag gaat is het belangrijk dat je site tijdelijk niet bereikbaar is, zodat de malware niet direct terugkomt. Daarnaast zal je zelf mogelijk toegang willen houden en je site te kunnen testen voordat je deze terug online zet. Controleer hiervoor eerst op https://ip.sidn.nl/ wat je IP adres is. Zet daarna de volgende regels bovenaan in je .htaccess:
RewriteCond "%{REMOTE_ADDR}" "!^JOUW_IP$"
RewriteRule "(.*)" "-" [F,NC]
ErrorDocument 403 "<p>Helaas zijn we tijdelijk offline voor onderhoud, we zijn zo spoedig mogelijk bij je terug!<br>Bedankt voor je geduld!</p>"
Vervang daarin JOUW_IP met het IP adres dat je langs de site van SIDN had gevonden.
Als de site onbereikbaar gemaakt is, zoek je van je CMS alsook alle plugins/thema's op welke versie hiervan geïnstalleerd is, en download verse bestanden van dezelfde versie. Vervang daarna de volledige mappen van je extensies/thema's, evenals alle core bestanden van de CMS. Update alle software hierna meteen!
Specifieke aanpak bij WordPress
Het is raadzaam om na te kijken welke versie van WordPress er draait om vervolgens van deze versie de core-files te downloaden. Vervolgens vervang je overal de core-files volledig met "verse" bestanden. De volgende mappen en bestanden zijn (vrijwel) de gehele core:
- public_html/*.php behalve wp-config.php
- public_html/wp-includes/
- public_html/wp-admin/
Verwijder allereerst alle plugins die gedeactiveerd zijn. Doe dit ook voor de thema's, maar laat 1 default thema staan als fallback. (bijv: twentytwentyone)
Controleer vervolgens welke versies je plugins en thema's zijn, zodat je deze met dezelfde allemaal kunt her-installeren met dezelfde versie. Als alle onderdelen zijn vervangen met schone bestanden kan je alles updaten.
Vervolgens zoek je in public_html/wp-content/uploads/ naar .php files, aangezien deze hier vrijwel nooit thuis horen. Controleer of eventuele files de inhoud hiervan afkomstig is van je site, en verwijder alle scripts die niet door één van je plugins geplaatst zijn. Daarmee is in veel gevallen alle malware verwijderd.
Wachtwoorden aanpassen
Als je backup terug geplaatst is, is de eerste verstandige stap je wachtwoorden te wijzigen. Zowel van je CMS alsook je database. Let er wel op dat dit betekent dat je database wachtwoord ook aangepast moet in je configuratie bestand. Je weet nooit welke data een hacker heeft weten te bemachtigen en je kunt hierin beter het zekere voor het onzekere nemen.
Updates uitvoeren
Als je wachtwoorden aangepast zijn, is een goede vervolgstap om zowel je website zelf alsook alle plugins en thema's van je site te updaten. Zodra de software gedateerd raakt zal de veiligheid van je site drastisch achteruit gaan. Zorg er dus ook voor dat je alles up-to-date houdt.
Wanneer je een nieuwe plugin installeert, let dan ook op de datum waarom deze als laatst is bijgewerkt. Als dit niet recent is, is de plugin eigenlijk sowieso al niet meer veilig.
Security aanscherpen
Tot slot kan je mogelijk nog het een en ander doen om je security te verbeteren. Zo zijn er bijvoorbeeld plugins voor WordPress die je site kunnen scannen op malware. Wij hebben de iThemes Security plugin aangeschaft zodat onze klanten deze hiervoor kunnen gebruiken.
Daarnaast kunnen de juiste security headers voorkomen dat er XSS op je site uitgevoerd kan worden. Deze site kan controleert de veiligheid van de security headers van jouw site en geeft aan waar nog problemen zitten: https://securityheaders.com/
Hierover is ook een zeer uitgebreide forumpost gemaakt door een van onze klanten, mocht je je hier verder in willen verdiepen: https://www.vimexx.nl/forum/8-webhosting/575-http-security-headers-compleet
Enorm bedankt hiervoor, Klaas!
Geen succes?
Mocht de malware nou toch terugkomen, ondanks alle moeite die je gedaan hebt, of mocht je er gewoon niet zelf uitkomen, dan zou je nog gebruik kunnen maken van onze opschoonservice. Je huurt ons dan in om er door een professional naar te laten kijken en het te laten behandelen. Je betaalt bij deze service niet voor de moeite of de uren, maar je betaalt voor een oplossing. Als onze specialisten het niet voor elkaar krijgen om het probleem op te lossen, dan krijg je het volledige bedrag retour!