Skip to content

WordPress Bulletproof maken

Ik zie het vaak genoeg gebeuren. Een klant of een algemene WordPress gebruiker stuurt ons een paniekemail of schrijft een draadje op het WordPress support forum met veel uitroeptekens en hoofdletters op WordPress.org waarin wordt gemeld dat zijn of haar website is gehackt en dat de website platligt danwel veel spam weergeeft. men is vaak kwaad of in paniek en de vraag is natuurlijk wat er gedaan kan worden om alles weer terug te draaien. In dit artikel zullen we een aantal preventiemogelijkheden doornemen en een aantal manieren om spam of hacksporen op te sporen en te verwijderen.

Preventie

  1. Backup je site! Zorg er altijd voordat je een recente database backup hebt en een kopie van al je bestanden. Een mooie plugin voor database backups is WP DB-Backup. Mocht je sitegehackt worden dan is alles weer terug te draaien.
  2. Houdt WordPress up-to-date – Gebruik altijd de laatste dan wel de op een na laatste WordPress versie. Dit is zeer belangrijk. Updates hebben niet alleen de laatste WordPress snufjes, maar ook de laatste patches waarmee beveiliginglekkages worden gedicht.
  3. Correcte bestands -en maprechten – Zorg dat alle mappen en bestanden de juiste rechten hebben. Gebruik hiervoor WP Security Scan. Daarmee kan er automatische bekeken worden welke mappen en bestanden wel en niet in orde zijn. NB Het kan zijn dat 755 niet voldoende is voor de correcte werking van cache, media of een plugin. In dat geval zul je toch CHMOD 777 moeten gebruiken. 755 voor bestanden 644 voor bestanden is echter altijd aan te raden. De rechten kun je aanpassen met je favoriete FTP client – Filezilla rules – of via dede terminal. Voor mappen/directories:
    find [pad naar de WordPress installatie] -type d -exec chmod 755 {} \;

    en voor bestanden:

    find [pad naar de WordPress installatie] -type f -exec chmod 644 {} \;
  4. Recente plugins en thema’s – Zorg dat alle plugins en thema’s ook up-to-date zijn. veroudererde plugins en thema’s kunnen lekkages hebben en beveiligingrisico’s  in jeWordPress CMS.
  5. Originele Databasetabel prefix – Gebruik een originele prefix voor al je tabellen bij de installatie. Dus niet wp_ ! Mocht je al de installatie afgerond hebben en de prefix willen aanpassen dan kan dit alsnog.
  6. Originele databasenaam en sterk wachtwoord – Neem een databasenaam die niet gelijk is aan de websitenaam en maak het wachtwoord sterk
  7. Originele gebruikersnaam beheerder – Gebruik niet de gebruikersnaam admin, maareen originele naam voorde beheerder.
  8. Sterk wachtwoord voor alle gebruikers – Gebruik een sterk wachtwoord voorde beheerder en alle andere gebruikers.  Tip: Een goede wachtwoordbeheerder en aanmaker is KeepassX.
  9. SFTP – Gebruik een sterk FTP wachtwoord en indien mogelijk maak gebruik van SFTP/ SSH. SFTP is beveiligde FTP en dus beter dan FTP waarmee wachtwoorden als tekst worden verstuurd.

Gehackt?

Als je eenmaal gehackt hebt en de website platligt of je geblacklisted bent door Google omdat er te veel (verborgen) spamlinks in je berichten en op je pagina’s worden getoond heb je twee optie:

  • Oude database en bestanden terugzetten indien je een recente kopie van beiden hebt die niet de besmette database noch bestanden bevat
  • De spamlinks opsporen en verwijderen ofwel de beschadigde bestanden/tabellen repareren.

Database en bestanden terugzetten

Als je alles netjes hebt gebackupt kun je de oude, schone bestanden terugzetten en door middel van PHPMyadmin de database legen en de meest recente en schone database terugplaatsen. Dit is de meest eenvoudige wijze om zaken weer in orde te maken. Daarom raden we dus ook aan om regelmatig backups te maken. Vraag je hoster wat de mogelijkheden zijn.

Spamlinks opsporen

  • Gebruik Exploit Scanner – http://wordpress.org/extend/plugins/exploit-scanner/
  • Gebruik PMA (PHPMyAdmin) en zoek op base64, hidden, en andere termen van toepassing en verwijder de spam links en of scripts. NB Alleen zaken verwijderen als je zeker van je zaak bent. Een extra backup kan geen kwaad
  • Doorzoek site online op spam met http://unmaskparasites.com/ Ga eenvoudigweg naar de site toe, voer je site url in en laat de scanner zaken doornemen. Daarmee komen vaak veel verborgen spamlinks op pagina’s naar voren. Daarnaast zal de scanner aangeven of je geblacklist bent of niet. Verwijderen van de links zal in de bestanden of database zelf gedaan moeten worden. De database kan online bij de meeste hosters met PMA worden doorzocht en bewerkt

Gehackte bestanden opsporen d.m.v server logs

Neem de Apache access en error logs door en zoek naar verdachte server verzoeken zoals rare linkaanvragen waaraan PHP script verbonden zijn. Kijk dan vervolgens of deze bestanden zijn aangepast.

FTP account controle

Bekijk  de FTP of xfer logs om te zien of er veelvuldig op een bepaald tijdstip van een bepaalde locatie bestanden zijn beschreven en zoek uit of dit een hacker was of een gebruiker. Als dit op een ongebruikelijk tijdstip gebeurde en als bepaalde bestanden zijn aangepast die normaliter geen aanpassen nodig hebben zit het er dik in dat de bestanden gehackt zijn en je account is overgenomen. Het is dan sowieso aan te raden een nieuw wachtwoord aan te maken na een hack. Verder is het gebruik van SFTP zoals eerder gemeld te zeerste aan te raden. Dit laatste wordt echter niet door alle hosters aangeboden.

Gepubliceerd door Jasper Frumau op dinsdag 21 juni 2011

Van → Beveiliging

3 Reacties
  1. Bedankt voor de tips, hier heeft iedereen wel iets aan!

  2. WordPress heeft meer gaten dan een vergiet. Ik snap dan ook niet echt waarom het zo populair is.

Trackbacks & Pingbacks

  1. WordPress wp-admin beveiliging met HTTP authenticatie | Doede.net Webdesign

Laat een reactie achter

NB: XHTML is toegstaan. Je email adres wordt niet gepubliceerd.

Abonneer je op de reacties op dit artikel via RSS

*