Support Volgende » Overige Volgende » Pharma hack

  • Beste,

    Helaas is mijn website getroffen door de zogenaamde ‘Pharma hack’ (Denk ik). Aan de voorkant en achterkant van mijn websites is niks te zien. Alleen wanneer ik mijn website google zie ik de vervelende links in de resultaten.

    Nu heb ik al het een en ander opgezocht en geprobeerd. Ik heb alles ge-update naar de laatste versie. Daarnaast heb ik oude plugins/thema’s die niet meer gebruikt werden verwijderd. Ook heb ik nodige wordpress core bestanden opgeschoond met de officiële versie van wordpress.org (Alles behalve de wp-config.php en de /uploads /map).

    Daarna heb ik via Wordfence een scan gedaan op malware, hier kwam uit dat alles nu veilig was.

    Even waren de links weg nadat ik ze ‘verwijderd’ had met Google Search Console, maar ik zie ze nu toch weer staan.

    Heeft iemand een idee hoe ik dit nog grondiger kan verwijderen? Zit het soms in de database? En waar zou ik dan moeten zoeken in de database?

    Graag hoor ik van jullie.

1 reactie aan het bekijken (van in totaal 1)
  • In de database moet je vooral kijken bij de post table, daar staan de teksten van je pagina’s en berichten.
    Dat kun je mogelijk ook doen door de editor in text modus te zetten. (Mits die niet geblokkeerd is of de code niet verborgen is middels javascript)

    Om een hack te verwijderen heb je ook te maken met backdoors, dat zijn bestanden waarmee hackbots weer terugkomen of de pagina’s weer aanmaken nadat ze verwijderd zijn.
    Die backdoors moeten volledig verwijderd worden, kijk hiervoor ook in de uploads mappen. Daar hoort op de index.php na geen php te staan.

    Ik heb in het verleden zelfs hackers code gevonden in de widgets, die dan op zich weer onbewerkbaar waren gemaakt. Dus dan moet je ongewenste code die je in de broncode vindt specifiek in de database opzoeken.

    Bij een update worden alleen bestanden vervangen die vernieuwd zijn, kortom niet alle bestanden worden vernieuwd of overschreven. Tevens worden hackbestanden niet verwijderd bij het updaten van plugins.

    Het verwijderen via de ftp en plaatsen van nieuwe downloads is daarbij nodig.

    Maak eerst een backup!
    (De Updraftplus plugin kan je daarbij helpen, dan kun je specifiek dingen terugzetten zoals de database of de plugins als er iets verkeerd gegaan is)

    Mocht je overigens door alle code heen kunnen lopen met een editor, dan kun je zoeken op base64 en eval. Er zijn plugins die ook met die functies werken maar je krijg je ook lijnen te zien met code zonder opmaak en veel herhaling, dat zijn hackerscodes. Onderscheidingsvermogen hierbij is nodig.

    Het gebruik van een beveiligingsplugin zoals iThemes Security of Wordfence kan je ook helpen met het beperken van de mogelijkheden die hackscripts hebben. Zo komt de hack minder snel terug en/of krijg je notificaties wanneer er wijzigingen op bestandsniveau optreden.

1 reactie aan het bekijken (van in totaal 1)
  • Het onderwerp ‘Pharma hack’ is gesloten voor nieuwe reacties.