Het moest er ooit eens van komen: Eén van onze sites werd gehackt en Google zag het eerder als wijzelf. De melding gebeurde in twee mailingen.
De eerste mailing van Google
Eerst kregen we een mail van Google waarin ze vermoedden dat de blog werd gehackt met een voorbeeldpagina waar de code op terug te vinden was. Toen we effectief keken op de site, kregen we nooit iets te zien dat er niet moest staan: “Géén probleem” dachten we, “het zal wel een vergissing zijn”.
Echter… zo makkelijk kwamen we er niet van af.
De tweede mailing van Google
Ditmaal was het wel serieus en luidde met de titel “malwaremelding“. De tweede mail volgde iets meer dan een week later:
We hebben recentelijk ontdekt dat gebruikers die bepaalde pagina’s op uw site bezoeken, kunnen worden geïnfecteerd met schadelijke software.
Het gevolg?
Iedere bezoeker krijgt voor het bezoeken van de site een waarschuwing te zien dat de site schade kan aanbrengen. Ouch! Dit zette ons wel aan het werk want zoiets kost bezoekers:
We hadden het moeten zien aankomen dat er iets mis is want er waren twee indicatoren die vreemd waren:
- Er werd een plugin gebruikt om de database te managen, namelijk: Cleanfix en daar stonden soms rare tekens in nadat een opkuisbeurt werd uitgevoerd.
- We kregen enorm veel spamreacties op artikelen: 1.000 per week tegenover een normale week van 200 spamreacties. Deze werden wel gefilterd door Akismet Antispam plugin (gelukkig maar!)
Een oplossing vinden.
Een hacker kan verschillende bestanden infecteren:
- Het kan je .htaccess bestand zijn dat je in de root van je webfolder kan terugvinden;
- Er kan een nieuwe user zijn aangemaakt die met een javascript code verborgen wordt voor het blote oog (soms zie je het een fractie van een seconde staat). Dit verwijder je via phpadmin;
- Het kan in de footer van een theme zijn (let daarmee zeker op bij gratis themes die twijfelachtige en onleesbare codes bevatten!!)
- Een verborgen tekst in je database;
- Of in ons geval: een extra lijntje code in het functions.php bestand van de theme.
De Google tips volgen.
Het eerste wat we deden waren de links volgen die Google had nagelaten in het bericht om bij te leren over malware en infecties op websites:
1: Stopbadware.org
2: Google Helpcentrum
Een scan uitvoeren
Eerlijk gezegd: veel van de uitleg op bovenstaande sites leek simpelweg Chinees! Als je site voor het eerst gehackt is, dan vergt het toch wat werk om alles uit te pluizen. In de zoektocht naar meer uitleg in duidelijkere taal kwamen we uit op een handige website: Sucuri.net sitecheck.
De informatie die Sucuri biedt was veel duidelijker en de gratis scan kon vaststellen welke malware er mogelijks op de site zou staan. Zo wisten we opeens snel dat we naar een specifieke code moesten zoeken en kwamen we gelukkig snel uit op het functions.php bestand.
Op Google kan je zelf ook een scan laten uitvoeren wat handig is nadat je site zou gehackt zijn; Grappig feitje was dat de website helemaal in orde uit de bus kwam! Deze info kan je dus niet altijd vertrouwen, wellicht moest Google nog updaten.
Je kan dit doen op volgende link: http://www.google.com/safebrowsing/diagnostic?site=google.com (Vervang dan wel google.com door je eigen domein).
Aan de slag.
Eens je weet waar het probleem zit is het eenvoudig: spoor de code op en verwijder ze. Meestal is het zo simpel.
Dit sluit echter niet uit dat je volgende maand opnieuw hetzelfde voor hebt … dus moet je toch de moeite doen om minimaal WordPress te updaten naar de laatste versie en je wachtwoord te wijzigen.
Plugins ter beveiliging van je WordPress site
Er bestaan ook tal van plugins die een extra beveiliginglaag vormen voor je WordPress site. Een aantal populaire plugins zijn onder meer:
Al deze plugins werden op meerdere blogs aangeraden en krijgen vrij goede ratings.
Nog niet gedaan!
Google moet nu nog de site opnieuw keuren en de malwaremelding die iedere bezoeker krijgt weghalen. Dit gebeurd zeer snel! Meestal is de klus geklaard binnen de 24 uren, in ons geval duurde het nog geen 12 uren. Je kan dit makkelijk doen via Webmastertools.
Als je sites nog niet aan je account staan gelinkt, dan is dat wel het moment om het te doen! Je kan alle nodige informatie terugvinden als je klikt op ‘diagnose’ en vervolgens ‘Malware’. Daar staat dan ook een link om een nieuwe controle te laten uitvoeren.
Nawoord
Een site die gehackt is was geen prettige ervaring, maar wel een leerrijke: neem steeds de tijd om je website voldoende te beveiligen. We danken Google voor de strenge maatregelen die ze hebben genomen, want ze hebben ons wel aan het werk gezet!
Als je dit artikel nuttig vond, dan mag je deze gerust delen met je vrienden!