Ondersteuning » Algemeen WordPress » site wordt af en toe gehackt, hoe beveiligen

  • wilfried1954

    (@wilfried1954)


    Hallo,

    Ik heb een site die blijkbaar af en toe gehackt wordt. Er staat dan in 1 van de PHP files rare code in het begin van het bestand. Eerst was het in BackupWordporess plugin, nu in de Yoast plugin. Via FTP de originele bestanden terugzetten en alles is dan terug in orde.

    Ik heb All In One WP Security van Tips en Tricks een tijdje geleden geinstalleer en daar bijna alles aangezet. Toch gebeurde het deze ochtend terug. De login lijst liet alleen mijn eigen logins zien.

    Hoe kan ik hiermee verder? Kan er een lek zitten in een plugin? Maar hoe zoek ik dat op? Voorlopig is alles terug in orde, maar ik ben wat ongerust omdat het al 3 keer gebeurt is.

    ps: ik volg overal de laatste upgrades uiteraard van wordpress zelf en van de plugins.

    Dank je, Wilfried

    De pagina waar ik hulp bij nodig heb: [log in om de link te zien]

8 reacties aan het bekijken - 1 tot 8 (van in totaal 8)
  • Moderator Jeroen Rotty

    (@jeroenrotty)

    Support Moderator

    Access logs induiken en kijken op datum/tijd van die bestandswijzigingen of je dingen kunt achterhalen. Grondig nazicht doen, maken dat je de opkuis volledig opschoont, een half opgeruimde hack is nog steeds een gehackte site. Dit is verder wel een topic waar grondige kennis voor nodig is. We kunnen dit niet in enkele stappen voor je uitleggen, elke hack is anders. Er is veel meer dan enkel maar de plugin files opnieuw wegschrijven.

    Kijk gerust ook eens in de officiële WordPress documentatie: https://wordpress.org/support/article/hardening-wordpress/.

    Thread starter wilfried1954

    (@wilfried1954)

    Dank je Jeroen voor je antwoord.

    Maar als ik All In One WP Security van Tips en Tricks hun raadgevingen opvolg, en zorg dat het login pad best een abnormaal pad is, en daarbij nog eens de wachtwoorden (waar nu op dit ogenblik op deze site het login pad nog steeds ‘wp-admin/ is en de login van de eigenaar nogal doorzichtig is). Zit ik dan veilig?

    Ik lees ook hier en daar dat sommige plugins veiligheidsgaten hebben… Hoe kan ik dat weten?

    Vriendelijke groeten, Wilfried

    Moderator Jeroen Rotty

    (@jeroenrotty)

    Support Moderator

    Het eerste is al direct een slecht advies, verstoppertje spelen is geen vebetering qua beveiliging (zoek op: security through obscurity).

    Ja veilige (lees: lange unieke) wachtwoorden is een mooie stap. Maar zonder dat je opkuis nu volledig is gebeurd of er nog bestanden zijn waar malware in zit, of de backdoor is er nog steeds, of er is een gebruikersaccount met te veel rechten, … zal je site steeds gehackt worden. Er moet dus met kennis van zaken een volledige opruiming gebeuren, met als eerste begin/onderzoek naar de mogelijke oorzaak. Of die nog te vinden is, weet ik je niet te garanderen, want als jij al hier en daar wat pleisters op de wonde hebt gelegd, maakt dat het alleen maar moeilijker.

    Ja, sommige plugins of thema’s hebben mogelijks een backdoor (veiligingsgat noem jij ze). Meestal zijn dat oudere versies of plugins/thema’s die niet meer worden bijgewerkt. Kijk ook daar even naar en kijk of je alle plugins wel echt nodig hebt.

    Ik zou Jeroen’s opmerkingen ten gehoor nemen. Verder zie ik dat je pagina’s al redelijk wat spam aan het uitzetten zijn, op /ruzie word ik namelijk al doorverwezen naar een of andere vage site.

    Persoonlijk zou ik je adviseren de site ‘simpelweg’ opnieuw te maken. Begin opnieuw, met een lege database, installeer daar vervolgens een schone WP installatie op. Gebruik zo min mogelijk plugins, elke plugin is een mogelijk security risk. Ja, echt waar.

    Gebruik sites zoals de Wayback Machine (https://web.archive.org/web/20190912221201/http://verasteyvers.be/) om pagina’s terug te halen qua content/indeling zodat je niet alles kwijt bent. Dit werkt niet altijd voor alle pagina’s maar het kan je een hoop tijd uit handen nemen.

    Heb geduld en ga niet te makkelijk uit van ‘oh, het zal nu wel goed zijn’. 9/10 keer resulteert dit in een opnieuw geïnfecteerde website.

    Indien je kennis hiervan niet op pijl is overweeg dan een bureau of iemand in de hand te nemen die dit voor je kan doen. Het kost je misschien geld maar wees eerlijk, soms is dit beter dan lange avonden proberen iets te herstellen wat de volgende dag weer kapot blijkt te zijn/gaan.

    Tot slot: in mijn werk (developer, met name m.b.v. WordPress) zie ik veel mensen ‘aanklooien’ met WordPress websites. Veel plugins en thema’s installeren en ongebruikt achterlaten in hun website. Na 3 maanden worden ze gehacked en ligt het aan WordPress. Zonde, want WordPress krijgt op deze manier een slechte naam terwijl het vaak de manier is hoe men omgaat met WordPress.

    Hopelijk heb je er iets aan. Stel gerust vragen, er zijn hier genoeg mensen die je willen en kunnen helpen 🙂

    Thread starter wilfried1954

    (@wilfried1954)

    Dank je Ruurd en Jeroen voor je reactie.

    Vreemd want de pagina /ruzie/ bestaat volgens mij niet. De site is niet van mij maar van een vriendin die mij gevraagd heeft hem te onderhouden.

    Maar ik ben eens terug gaan kijken en blijkbaar werkt de site niet meer. Als ik WP_DEBUG aanzet krijg ik een foutmelding:

    Fatal error: Uncaught Error: Call to undefined function wp_get_nav_menu_object() in /data/sites/web/verasteyversbe/www/wp-content/themes/customizr/core/core-functions.php:1101 Stack trace: #0 /data/sites/web/verasteyversbe/www/wp-content/themes/customizr/inc/czr-front-ccat.php(940): czr_fn_has_location_menu() #1 /data/sites/web/verasteyversbe/www/wp-content/themes/customizr/inc/czr-front-ccat.php(850): CZR_menu->czr_fn_wp_nav_menu_view() #2 /data/sites/web/verasteyversbe/www/wp-content/themes/customizr/inc/czr-front-ccat.php(749): CZR_menu->czr_fn_regular_menu_display() #3 /data/sites/web/verasteyversbe/www/wp-includes/class-wp-hook.php(287): CZR_menu->czr_fn_menu_display() #4 /data/sites/web/verasteyversbe/www/wp-includes/class-wp-hook.php(311): WP_Hook->apply_filters() #5 /data/sites/web/verasteyversbe/www/wp-includes/plugin.php(478): WP_Hook->do_action() #6 /data/sites/web/verasteyversbe/www/wp-content/themes/customizr/inc/czr-front-ccat.php(332): do_action() #7 /data/sites/web/verasteyversbe/www/wp-includes/class-wp-h in /data/sites/web/verasteyversbe/www/wp-content/themes/customizr/core/core-functions.php on line 1101

    Volgens mij is de site inderdaad niet meer schoon. Ik vraag eerst even aan de eigenaar van de site of ik hem offline mag halen alvorens er erge dingen gebeuren zoals rare rediretions of ander vage zaken.

    Ik heb zeker nog enkele oude backups van lang voor het eerste probleem met de site. Ik denk met Duplicator wat het gemakkellijk maakt om terug te installeren.

    Ik denk van dan het volgende te doen:
    – alle passwoorden wijzigen, inclusief database paswoord
    – heel het filesysteem wissen
    – met Duplicator de oude backup terug installeren (database wordt overschreven)

    Is dat een goede start?

    De gebruikte thema’s en plugins op die site zijn:
    – akismet antt spam
    – all in one wp security
    – caldera forms
    – duplicator
    – embed google map (ken ik niet)
    – klassieke editor
    – master faq accordeon (ken ik niet)
    – updraftplus
    – yoast seo

    Zitten er hier onveilige bij?

    Na schone (oude) installatie dan alles rustig updaten (plugins + WP). En hopen dat ik terug veilig zit?

    Dank voor alle hulp.

    Wilfried

    Als je database lekken bevat hebben je te nemen stappen nagenoeg geen zin. Vandaar mijn advies om opnieuw te beginnen. Maar goed, dat is iets wat je zelf moet weten.

    – akismet antt spam (zou ik weghalen, kun je oplossen met recaptcha. De anti-spam maatregel van Google).
    – all in one wp security (ken alleen Wordfence en is in mijn optiek een goede keuze)
    – caldera forms (ken ik niet, zou Ninja Forms of ContactForm7 nemen, zit standaard recaptcha mogelijkheid in)
    – duplicator (doe dit zelf altijd handmatig, maar dit kan ook. Verwijder de plugin echter wel als je klaar bent)
    – embed google map (zou ik persoonlijk vermijden, gebruik anders gewoon de iframe/embedded functionaliteit van Gmaps zelf? Zelf maak ik gebruik van OpenStreetMap, zie ook voorbeeldje hier: https://openlayers.org/en/latest/examples/es2015-custom-element.html)
    – klassieke editor (is de meest gebruikte editor om Gutenberg uit te schakelen, prima dus)
    – master faq accordeon (bij mij onbekend, maar waarom niet gewoon dit in de pagina zelf beheren? Stuk veiliger en minder kans op fouten/conflicten)
    – updraftplus (ken ik alleen van naam)
    – yoast seo (gebruikt door velen, op zich betrouwbaar)

    Ik zou trouwens uitkijken met het posten van het absolute pad van de server. Kwaadwillenden kunnen hier diverse informatie uithalen..

    Thread starter wilfried1954

    (@wilfried1954)

    Ik ben die site helemaal van scratch terug aan ’t opzetten. Blijkbaar was er reeds lang geleden van alles al mis.

    Maar nu toch een vraagje. Waarom plugins die niet actief zijn ‘zo vlug mogelijk’ wissen? Hoe kan iemand hacken via een plugin die niet actief staat?

    Omdat de bestanden die een plugin gebruikt nog steeds fysiek aanwezig zijn op de server en daarmee dus vaak nog steeds toegankelijk.

8 reacties aan het bekijken - 1 tot 8 (van in totaal 8)
  • Het onderwerp ‘site wordt af en toe gehackt, hoe beveiligen’ is gesloten voor nieuwe reacties.