Support » Algemeen WordPress » wp steeds gehackt

  • ik word er wel wat moe van: onze website wordt elke 2-3 weken gehackt door iemand in gambia? die de bezoekers omleidt op de homepage naar een of andere advertentie site in .ga
    wp is ge updated, met de hand over ftp want er is geen “update” knop op het dashboard
    akismet, wp all in one security, stopbadbots etc.
    shield plugin is verwijderd wegens problemen
    mijn vragen als het mag:
    wat te doen om hack nog te voorkomen?
    waarom is er geen “update”knop in het dashboard?

    De pagina waar ik hulp bij nodig heb: [log in om de link te zien]

11 reacties aan het bekijken - 1 tot 11 (van in totaal 11)
  • Moderator Jeroen Rotty

    (@jeroenrotty)

    Support Moderator

    Een opruiming van een gehackte site is meer dan even WordPress core opnieuw installeren. De database, alle mappen op de server, bestandsrechten, scripts, gebruikers … heel veel aspecten waar nog een achterpoortje open kan blijven na jouw ‘opruiming’. Mijn advies is er iemand met ervaring in het opruimen van WordPress sites op te zetten en die volledig te laten scannen en op punt zetten.

    Je kunt hiervoor jobs.wordpress.net gebruiken als je iemand zoekt.

    Thread starter wprobbie

    (@wprobbie)

    dank voor je antwoord!
    ik kan de gehackte site wel herstellen met een goede backup, maar dat is gedoe natuurlijk
    reacties/ mail etc is uitgeschakeld; plugin wordfence loopt mee, succuri ook

    ik kan zelf wel eea, diverse php files doorzoeken/checken op checksum, database doorzoeken en kom dan na de hack een pingback tegen die in de homepage wordt geinjecteerd door iets/iemand

    is er geen plek waar ik een soort van lijst van mogelijke backdoors kan vinden?

    • Deze reactie is gewijzigd 9 maanden geleden door wprobbie.
    Moderator Jeroen Rotty

    (@jeroenrotty)

    Support Moderator

    Hoe weet jij dat je een ‘goede’ back-up hebt? Voor het zelfde probleem is dat net je probleem, dat je ook steeds teruggaat naar een lekke installatie.

    Als je homepage nog steeds kan aangepast worden, is er inderdaad nog steeds een backdoor. Een ‘lijstje’ bestaat niet. Kijk op het moment dat de hack plaatsvind naar je error en access logs om mogelijks een oorzaak te kunnen acterhalen, kijk grondig naar je thema en plugins of die allemaal nog recentelijk zijn bijgewerkt en zorg niet alleen voor een up to date WordPress installatie, maar kijk ook objectief naar je host. Draait je host een veilige apache versie, recente PHP versie, …

    Thread starter wprobbie

    (@wprobbie)

    dank voor je reactie!
    ik ga verder spitten na een nieuwe hack, ongebruikte thema verwijderen en de plugins verder bijwerken

    de server kan ik niet zo goed beoordelen, dit zijn de data:

    Server architecture Linux 4.18.0-240.1.1.el8_3.x86_64 x86_64
    Web server Apache
    PHP version 7.4.13 (Supports 64bit values)
    PHP SAPI apache
    PHP max input variables 3500
    PHP time limit 180
    PHP memory limit 256M
    Max input time 60
    Upload max filesize 256M
    PHP post max size 256M
    cURL version 7.61.1 OpenSSL/1.1.1i
    Is SUHOSIN installed? Nee
    Is the Imagick library available? Ja
    Are pretty permalinks supported? Ja
    .htaccess rules Custom rules have been added to your .htaccess file.

    Moderator Jeroen Rotty

    (@jeroenrotty)

    Support Moderator

    Dat lijkt best OK op het eerste zicht. Maar dus zoals gezegd zijn er zo veel verschillend aspecten en is elke hack en site anders, dus hier kunnen we niet elk puntje overlopen. Zoek vooral uit in de logs of je kunt achterhalen waar de hack kan ontstaan, kijk of er nergens in de post content nog scripts zijn toegevoegd of extra beheerder accounts zijn. Het kan door 1 kleine toevoeging ergens in je dataabse, posts, accounts, hosting accounts enzovoort, zo snel gebeuren. Overal veilige, lange en unieke paswoorden hebben voor alle onderdelen is ook belangrijk.

    Thread starter wprobbie

    (@wprobbie)

    hi, ben er inmiddels achter uit de logs dat de hacker uit rusland komt en op een of andere manier een admin inlog kan doen
    ik heb natuurlijk inlog veranderd etc.

    iemand tips waar te zoeken in de corefiles?

    Moderator Jeroen Rotty

    (@jeroenrotty)

    Support Moderator

    Als je de core files herschrijft, moet je daar niets verder in zoeken, het heeft meestal te maken met bepaalde lekken in outdated code van thema’s en plugins. Zonder je site grondig te kunnen uitspitten kunnen we daar weinig hier over vertellen. Kijk dus grondig naar plugins en thema’s en kijk of ze nog frequent worden bijgewerkt, kijk naar de user accounts die er nu op staan, verander database paswoorden, user paswoorden, SALTS in wp-config.php, …

    Blijft het aanhouden, dan geldt mijn eerste advies nog steeds.

    Thread starter wprobbie

    (@wprobbie)

    hi
    dank maar weer, ik heb je adviezen gevolgd
    alles geupdated, oude zooi verwijderd, passwords etc veranderd, nog even in de mysql gezocht
    ben benieuwd, fingers crossed

    Thread starter wprobbie

    (@wprobbie)

    update: het lijkt er op dat de site nu dicht zit
    ik heb sterk de indruk dat het probleem zat in het hier verouderde thema 20-10
    ben wel verbaasd hoeveel ip’s wordfence registreert als aanvaller, die block ik zoveel mogelijk als permanent
    dank voor jullie hulp!

    • Deze reactie is gewijzigd 8 maanden, 2 weken geleden door wprobbie.
    Moderator Jeroen Rotty

    (@jeroenrotty)

    Support Moderator

    Je bedoelt TwentyTen? Zou mij sterk verbazen dat het in het thema zelf zit want die wordt nog steeds bijgewerkt als dat nodig blijkt voor nieuwe WP versies. Het kan altijd zijn dat tijdens de hack de thema bestanden aangetast werden, maar ik vermoed niet dat het thema de oorzaak is.

    Thread starter wprobbie

    (@wprobbie)

    dank voor je antwoord!
    mijn thema bestanden waren heel oud…. in de downloadpakketjes vanaf 2016 etc zat twenty-ten niet meer standaard,
    na hand-update thema is het hier nog stil, maar het kan natuurlijk in iets anders gezeten hebben zoals jij schrijft
    ik heb ook 1 oude plugin (user specific content) vervangen door een andere meer recente, misschien was dat t probleem
    ik snap dat het lastig is te vinden achteraf; zou fijn zijn als er ergens een soort van checklist is die je kunt afwerken bij een hack
    wat ik heb gedaan:
    -website en database gedownload met ftp en hostingpanel om in te zoeken
    -eerst gezocht naar de oorzaak van de veranderde pingback op de homepage en het doeladres gezocht in mysql en verwijderd
    -gezocht waar de pingback code geïnjecteerd werd, was lastig want pingback komt in veel bestanden voor, css, php etc., geen oplossing gevonden
    -gezocht middels ipadres hacker,russisch, in mysql: vond alleen logbestand met dat adres; adres geblokkeerd
    uiteindelijk geen resultaat gevonden, website bleef lek
    daarna :
    – eerst bestaande website en datbase gebackupt, dat bleek wel nodig want de website werd een paar keer kapotgemaakt onderweg
    – mijn eigen computer gecheckt op malware die inlogs zou kunnen versturen
    – handmatig corefiles geupdated, thema twenty-ten stond daar niet in
    – bestaande plugins geupdated waar mogelijk; succuri geinstalleerd; website werd weer gehackt
    – admin account veranderd, alle wachtwoorden veranderd: ftp, SALT, admin
    – rechten op de mappen met ftp inesteld op aanbevolen waarde
    – thema handmatig geupdated, oude plugin verwijderd, wordfence geïnstalleerd en geconfigureerd,nieuwe plugins gekozen en geconfigureerd
    – healthcheck plugin geïnstalleerd en aanbevelingen opgevolgd
    – nieuwe backups gemaakt

    • Deze reactie is gewijzigd 8 maanden, 2 weken geleden door wprobbie.
    • Deze reactie is gewijzigd 8 maanden, 2 weken geleden door wprobbie.
11 reacties aan het bekijken - 1 tot 11 (van in totaal 11)
  • Het onderwerp ‘wp steeds gehackt’ is gesloten voor nieuwe reacties.