Als je website gehackt is moet je dit herstellen voordat het weer online kan. In deze handleiding bespreken we hoe je dat doet.
Inhoudsopgave
- Inleiding
- Website herstellen
- Maak een backup
- Scan de lokale omgeving
- Update WordPress
- Scan je website
- Pas wachtwoorden aan
- Genereer nieuwe geheime sleutels
- Scan je website opnieuw
Inleiding
Als je website is gehackt raak dan niet in paniek. Het is eerst belangrijk om vast te stellen of de site daadwerkelijk is gehackt. Je kunt dit op een aantal manieren onderzoeken:
- Krijg je meldingen van bezoekers dat ze vanaf je website worden doorgestuurd naar ongewenste websites? Denk hierbij aan websites met veel advertenties vooral over onderwerpen als pornografie, crypto en gokken.
- Zie je advertenties op je site die je zelf niet hebt geplaatst?
- Ga naar Google en zoek op ‘site:domeinnaam’ (vul in plaats van domeinnaam jouw eigen domeinnaam in). Je krijgt dat een lijst met alle geïndexeerde pagina’s van je site. Als je hier pagina’s ziet die je niet herkent of er kwaadaardig uitzien is dit een indicatie dat uw website is gehackt.
Website herstellen
Als je hebt vastgesteld dat je website is gehackt moet je hier zo snel mogelijk werk van maken. Als de site te lang online staat kan het gebeuren dat zoekmachines deze pagina’s indexeren. Vervolgens zullen zij uw bezoekers waarschuwen dat de website kwaadaardige code bevat. In extreme gevallen is het zelfs mogelijk dat uw website volledig uit de indexering wordt gehaald. Je kunt dan niet meer gevonden worden.
We bespreken in de rest van dit artikel welke stappen je moet ondernemen. We adviseren dit ook in deze volgorde te doen. We gaan hierbij uit van een WordPress website. Maar de stappen voor andere soorten website systemen zijn grotendeels gelijk.
Maak een backup
Het is belangrijk om eerst een back-up van de huidige staat te maken. Als er tijdens het herstelproces iets fout gaat heb je altijd deze backup nog beschikbaar. Maak een backup van je website en de database.
Scan de lokale omgeving
Scan je volledige lokale omgeving op kwaadaardige software. Het kan zijn dat de hack is uitgevoerd door middel van kwaadaardige software op de computer. Je voorkomt hiermee ook dat er tijdens het herstel alsnog schadelijke data op je site terecht komt. Laat antivirus en anti-malware software je systemen scannen.
Update WordPress
Websites worden vaak gehackt doordat deze gebruik maken van verouderde code. Het is daarom belangrijk om WordPress en de onderliggende plugins en thema's volledig te updaten. WordPress zal verouderde bestanden vervangen met de nieuwe versies, waarmee beveiligingslekken worden gedicht. Dit zorgt er niet voor dat een gehackte website weer volledig schoon is maar het is een van de meest belangrijke stappen van de herstelprocedure. Probeer verder het gebruik van plugins en thema’s die al ruim 6 maanden geen update van hun ontwikkelaar hebben gekregen, te vermijden. Deze toevoegingen aan uw website worden dusdanig slecht onderhouden dat deze een beveiligingsrisico met zich meebrengen.
Scan je website
We raden aan om WordFence te installeren op je website. Dit is een gratis plugin waarmee een scan kan worden uitgevoerd. Wel is het belangrijk om in de WordFence-opties eerst de volgende twee opties in te schakelen:
- Scan theme files against repository versions for changes
- Scan plugin files against repository versions for changes
Voer de scan uit als de bovenstaande opties zijn ingesteld. Wacht de resultaten van deze scan af. Je krijgt nu een lijst met geïnfecteerde bestanden. Werk de lijst vervolgens volledig af en zet bestanden terug naar hun originele staat via de functie in WordFence. WordFence controleert ook je WordPress installatie op bestanden die eigenlijk niet binnen deze installatie thuishoren. Dit omdat hackers vaak nieuwe bestanden genereren om als backdoor te kunnen gebruiken bij een toekomstige hack. Het is cruciaal dat dergelijke bestanden worden verwijderd.
Pas wachtwoorden aan
Bij een hack kunnen gebruikersgegevens zijn gestolen. Als deze niet worden aangepast kan de hacker opnieuw met de website aan de slag op het moment dat deze is hersteld. Pas daarom de wachtwoorden aan van alle gebruikersaccounts op je WordPress website. De administrator-accounts zijn het belangrijkst. Ook moet het FTP-wachtwoord en het wachtwoord van je database worden aangepast. Maak altijd gebruik van sterke wachtwoorden met minimaal 12 karakters, een kleine letter, een hoofdletter en een speciaal teken. Het is belangrijk om deze stap pas te nemen op het moment dat de bovenstaande stappen zijn uitgevoerd.
Genereer nieuwe geheime sleutels
Zelfs als je gebruikersgegevens zijn aangepast kan de hacker toegang hebben tot je beheerdersaccount. Dit komt omdat er een lopende sessie actief is door middel van eerder geleverde cookies. Om ervoor te zorgen dat deze cookies niet langer kunnen worden gebruikt moet er een nieuwe verzameling geheime sleutels worden gegenereerd. Dit doe je door het wp-config.php bestand te bewerken en hier nieuwe geheime sleutels in op te nemen.
Zoek het bestand op. Deze kan worden gevonden met een FTP-programma.
Zoek in het bestand de code op die eruit ziet als onderstaand voorbeeld:
define('AUTH_KEY', '}Si$?wyN.(mE:-NEb@ip,d5w| *XH8t`v;N+<X{pfM+85Yjw/ jk=&{S#IA_,&Ei{Z');
define('SECURE_AUTH_KEY', '4+[@})To|@d2Ta= EXI<T$xRXE30z2bV) =D0mjCaT7{%$|:,U= Enw(%+fsoGWxs(j');
define('LOGGED_IN_KEY', '&>^a{;m/NB$Pshr<| dZHm*L+>hHL= y|&X&ReDP_+N) ~UAso1p,PSth.Q$ #U+{5[U');
define('NONCE_KEY', 'YfX.TL&AW*&z| 3YzTbi6w+9HTF2m_+ E|Ioq_2KdBiN:}26} V7kfg+8R<OI[qRjqI');
define('AUTH_SALT', '|$~~F:P[Pm-kyL2+s-sG+5NO| &+5A?kaCc,HBZ#)8j+ LzdRRG5/|Xwly4ptLR+C');
define('SECURE_AUTH_SALT', '0olbi`DwI1sk #7`7b> F GQ@gqvZ2aGT-kGI? @+0%k5TS<+pyG`= a{a:gIA7I[^2');
define('LOGGED_IN_SALT', 'mm,496Q|]oN[e-}FNK} sYk3sjSQK5=+ygk.uo9_ [Ol(%]a30#qfw;Uso? x%A`J34');
define('NONCE_SALT', '+teM4c-i&A+k+KC.|T s0O[ ;Z25eX-f3-:Tm@ !9G`%~,>*iec-$.kp^ 4,eR^_g{3');
Vervang dit blok met geheime sleutels met nieuw gegenereerde sleutels. Gebruik hiervoor niet de bovenstaande set maar een nieuwe set. Je kunt ze genereren op deze pagina. Vervang het blok in wp-config.php met nieuwe codes. Sla het bestand op je computer en upload het naar de map waar je WordPress-installatie in staat.
Scan je website opnieuw
Om er zeker van te zijn dat je website weer volledig schoon is doe je een nieuwe WordFence-scan. Als er geen veiligheidsrisico’s meer boven water komen lijkt de website te zijn hersteld.