Gehackt via WordPress / lekke plugins

durkboersma
(@durkboersma)

14 jaren, 8 maanden geleden

Beste mensen,

Sinds kort ben ik mij aan het verdiepen in de wereld van WordPress, en ik moet zeggen dat het me tot nu toe enorm goed bevalt. Er is alleen 1 dingetje waar ik graag wat meer over zou weten. Vorige week werd ik namelijk opgeschrikt door een enorme hoeveelheid mails in mijn postbus over het feit dat ik phising pagina’s zou hebben op mijn website. Ik heb daarom meteen de website offline gegooid (doorsturen naar een lege DNS), en in overleg met de webhoster meteen een onderzoek ingesteld. Volgens hun kwam het erop neer dat de ‘boeven’ toegang hadden gekregen via een lekker wordpress plugin. In eerste instantie leek mij dit een beetje onwaarschijnlijk. Maar nu kreeg ik van de week zo’n phising mailtje, en de link die daarin stond was inderdaad ook naar een wordpress website.

Mijn vraag is dus, hoe kan ik dit soort dingen voorkomen. Of in ieder geval, hoe kan ik er achter komen welke plugins wel en niet te vertrouwen zijn? Ik heb iets gelezen over dat wordpress juist heel veilig zou zijn door een ingebouwde updatechecker en dat soort dingen. Kan ik misschien beter afzien van het gebruik van wordpress? Ik lees graag jullie meningen…

Met vriendelijke groet,
Durk Boersma

15 reacties aan het bekijken - 1 tot 15 (van in totaal 19)

1 2 →

hofhuis
(@hofhuis)

14 jaren, 8 maanden geleden

Vertel me even welke plugins je gebruikt.
Je verhaal komt me onbekend over, ik heb al 20 wordpress sites gemaakt met een 30 tal plugins en hier nooit last van gehad.

Thread starter durkboersma
(@durkboersma)

14 jaren, 8 maanden geleden

Zie screenshot

Moderator Remkus de Vries
(@defries)

Sleutelbeheer WordPress NL

14 jaren, 8 maanden geleden

Miljoenen mensen gebruiken WordPress dus daar ligt het probleem niet. Plugins kunnen uiteraard heel slecht geschreven zijn, maar zolang je ze van wordpress.org haalt en goed onderzoek doet ( lees: uitgebreid googlen) zijn er eigenlijk weinig tot geen risico’s.

Thread starter durkboersma
(@durkboersma)

14 jaren, 8 maanden geleden

Vanmiddag weer een mailtje in de mailbox via een bedrijf dat RSA.com heet. Die schijnen iets te doen met phising websites. Bleek weer een nieuwe aanval te zijn geweest, weer in een wp-map. Meteen alle plugins gedeactiveerd en verwijderd. In de basis moet het pakket toch wel goed zijn? Dus als ik geen plugins gebruik ben ik toch veilig?

kletskater
(@kletskater)

14 jaren, 8 maanden geleden

WP zonder plugins draaien ivm veiligheid lijkt me wat ver gaan..
vergelijk het met je auto daar haal je toch ook je bumpers, antenne en handvaten niet af omdat ze uitsteken

Zoals hierboven al gezegd, wanneer je de plugins via wp zelf installeert
gaat eea veilig.
Je bent doorgaans ook niet de eerste die zo-n plugin activeert dus waren er al lang meldingen geweest op de fora.

Kan je nu ook nog aangeven welke plugins je gebruikt.

Thread starter durkboersma
(@durkboersma)

14 jaren, 8 maanden geleden

De plugins die ik voor vanmiddag gebruikte staan in een eerdere post, althans een link naar een screenshot daarvan. Het lijkt mij ook dat plugins via WP zelf veilig zijn, maar volgens mij heb ik allemaal maar originele plugins. Het gekke is dat ik sinds ik wordpress draai, met plugins, dat ik opeens meerdere keren aangevallen ben. Net nog heb ik een email ontvangen van mijn webhost aangaande het versturen van spam over het betreffende domein. Dit terwijl ik geen contactformulier en niks op die site heb. Ik word er zo langzamerhand een beetje moedeloos van…

hofhuis
(@hofhuis)

14 jaren, 8 maanden geleden

Het is niet WordPress maar je mailbeveiliging.
Kijk om te beginnen naar je mailbeveiliging, schakel de site_blackhole uit (alleonzin@domeinnaam.nl komt naar je mailadres)
Maak nieuwe wachtwoorden.
Maak een plaatje van je mailadres zoals hier linksonder
Ik neem verder aan dat er geen vreemde code is gevonden op je wordpress pagina’s (even in de bron kijken)

Thread starter durkboersma
(@durkboersma)

14 jaren, 8 maanden geleden

Die catch-all vind ik juist uitermate handig. Het komt regelmatig voor dat mensen mijn voornaam verkeerd spellen, en ik daardoor dus mail mis. Zo’n catch-all zou toch geen gevaar mogen opleveren? Verder ben ik altijd heel voorzichtig met emailadressen ergens neerzetten, sowieso nooit in de code als mailto of href.

Daarnaast neem ik aan dat het probleem van de email geheel los staat van de phising pagina’s? Zou het probleem van die phising pagina’s eventueel ook nog in een template kunnen zitten ipv een plugin? Broncode is verder niet aangepast sinds de upload van het wordpress pakket (statistieken bekeken in ftp client), dus ik neem aan dat daar geen gekke dingen inzitten.

hofhuis
(@hofhuis)

14 jaren, 8 maanden geleden

Die catch-all vind ik juist uitermate handig

Dan moet je ook niet zeuren over spam.

Verder ben ik altijd heel voorzichtig met emailadressen ergens neerzetten, sowieso nooit in de code als mailto of href.

Alles waar een apestaartje staat wordt door de bots gelezen.

Zou het probleem van die phising pagina’s eventueel ook nog in een template kunnen zitten ipv een plugin?

Uitgesloten.

Broncode is verder niet aangepast sinds de upload van het wordpress pakket (statistieken bekeken in ftp client), dus ik neem aan dat daar geen gekke dingen inzitten.

Als je een pagina bekijkt (rechtermuisknp/broncode) zie je daar soms code die je niet herkent. Die wordt er door kwalijke lieden automatisch ingeplaatst als ze toegang hebben tot de pagina. Dus als er code in zit is er toegang. Om te beginnen de wachtwoorden wijzigen van WordPress en Mysql.
Is dit jou domein?
gr rob

Thread starter durkboersma
(@durkboersma)

14 jaren, 8 maanden geleden

Hey Rob,

Ik erger me niet aan het ontvangen van spam, het probleem is dat ik volgens de webhost spam verstuurd zou hebben. Dit staat toch los van een catch-all?

Dat is inderdaad mijn domein, why?
hofhuis
(@hofhuis)

14 jaren, 8 maanden geleden
```
<form name="wscplogin" id="form" method="post" action="https://wscp.pcextreme.nl/login.php">
					<input name="custid" type="text" id="gebruikersnaam" value="klantnummer" class="login" onclick="this.value='';" />
					<input name="password" type="password" id="wachtwoord" value="wachtwoord" class="login"  onfocus="this.value='';" /></form>
```
Dit is gekraakt Durk. Daarmee is ook toegang verkregen tot je mailserver. Is in zekere zin overgenomen..
Heb je zelf ergens een servertje gebouwd?
gr rob
Thread starter durkboersma
(@durkboersma)

14 jaren, 8 maanden geleden

Nee, ik heb zelf geen servertje gebouwd. Ik snap niet waar dit probleem in heeft gezeten… Hele wp maar verwijderen dan eerst?
hofhuis
(@hofhuis)

14 jaren, 8 maanden geleden
Even saven, ook de databaseen opnieuw installeren, met nieuwe wachtwoorden en een nieuwe database aanmaken ook met nieuwe wwoorden. Daarna de oude database terugzetten. Half uurtje werk.Dan zou het verholpen moeten zijn. met de plugin checkstat kun je goed bijhouden wie er langskomt.
En ook dit even weghalen:
```
Hostname web01
IP-Adres 2a00:f10:10a:4:225:90ff:fe1c:12e7
```
gr rob
Thread starter durkboersma
(@durkboersma)

14 jaren, 8 maanden geleden

Ik kan niet meer bij de databases komen. Heb in ieder geval lokaal een backup gedraaid van alle data die erop stond, ben nu bezig om alles eraf te trekken en te deleten. Zal contact opnemen met de webhost of zij de databases kunnen deleten, hoef er geen backup van, stond toch niets nuttigs in… Daarna opnieuw WP erop draaien met een nieuwe database, dan is het toch ook opgelost?

Kan ik vanavond rustig de files wel eens doorkijken naar rare hacks… In ieder geval bedankt voor de hulp!

hofhuis
(@hofhuis)

14 jaren, 8 maanden geleden

Ik kan niet meer bij de databases komen

Huh?