Help! Mijn WordPress website is gehackt!

BrigitSAFETY

Je heb een kleine, niet al te druk bezochte website, met een paar artikelen erop en verder niks! Daar heeft een hacker toch niks aan? Nou... blijkbaar wel want je bent gehackt!
Waarom wordt mijn website gehackt?

Om geld mee te verdienen. Bijvoorbeeld door het versturen van massa’s spam of phishing mails vanaf het IP-adres van jouw website.

Of het plaatsen van zichtbare en/of onzichtbare links naar dubieuze websites. Of, ook niet fijn: ze gooien je site op slot en je mag er pas na betaling weer op. Of, als er persoonsgegevens op je website staan – bijvoorbeeld ingevulde formulieren - voor identiteitsdiefstal. Of, ze stelen je klantgegevens én leiden je betaalpagina om naar een phishing pagina.

Hoe wordt mijn website gehackt?

Hackers schrijven geautomatiseerde scripts (bots) die het hele internet scannen en elke site die ze vinden automatisch analyseren op onder andere de volgende zwakke punten.

  • Verouderde wordpress versies
  • Verouderde plugins
  • Verouderde themes files
  • Incorrecte file permissions
  • Onveilige hosting
  • Onveilige passwoorden
Hoe herken je een WordPress hack?
  • Je hosting heeft je site offline gehaald.
  • Je security plugin stuurt je een waarschuwing.
  • Je kunt niet meer inloggen in je WordPress-admin
  • Je website wordt ge-redirect naar andere websites.
  • Teksten of beeld op je website die je zelf niet hebt geplaatst.

Heb je het vermoeden dat er iets mis is kun je je site laten checken bij www.hackertarget.com

Stappenplan oplossen gehackte WordPress website
Kun je nog steeds inloggen op je website?

Zet je back-up terug
Als je weet op welke datum de hack heeft plaatsgevonden, zet dan je back-up van je website terug naar die van vóór de hack. Alle nieuwe content die je erna hebt geplaatst, ben je dan wel kwijt. Maar de ‘aangetaste’ content is dan in ieder geval niet meer aanwezig.

Verander direct al je wachtwoorden

Verwijder alle ongebruikte themes en plugins
We proberen allemaal wel eens een plugin of ander thema uit maar verwijder deze altijd zodra je ze niet meer gebruikt. Verouderde WordPress/plugins en thema’s zijn vaak slecht beveiligd en een goudmijn voor hackers!

Controleer of er vreemde gebruikersaccounts zijn
Ga via je dashbord naar Gebruikers > Alle gebruikers en verwijder daar de accounts die je niet kent. Kijk ook naar rechten en gebruikers rollen; een beheerder, hooguit twee als je website door een externe partij laat onderhouden, is meer dan genoeg.

Scan je WordPress website.
Je kunt hier Wordfence voor gebruiken.

Vraag hulp

Kun je niet meer inloggen op je website?

Geen beheerdersrechten meer in WordPress admin
Kun je wel inloggen, maar  kan je geen plug-ins of thema’s zien of aanpassen dan zijn misschien de gebruikersrollen zijn aangepast door een hacker.  Je kunt dit oplossen dit door jezelf weer als admin gebruiker toe te voegen aan de WordPress database via MySQL.

Vraag hulp

Een nieuwe hack voorkomen

Back Up
De automatische backups van je hostingpartij lijkt misschien voldoende maar zorg dat je ook nog op een andere plek, Google Drive bijvoorbeeld, regelmatig backups opslaat.

Updaten
WordPress-, plugin- en theme-updates worden vaak uitgebracht omdat er een (klein) lek is ontdekt! Een extra reden (mocht je die uberhaupt nodig hebben) is dat plugins onderling ook invloed op elkaar hebben. Een foute plugin kan effect hebben op meerdere plugins die wel goed zijn.

Installeer niet zomaar iedere plugin.
Bekijk hoe wanneer de plugin voor het laatst is geüpdatet, de beoordelingen van andere WordPress-gebruikers en vraag je af of je de plugin echt nodig hebt?

Installeer een SSL-certificaat
Met een SSL-certificaat laat je alle traffic via HTTPS lopen en worden alle gegevens versleuteld. Vanaf juli dit jaar zal Google Chrome websites zonder SSL-certificaat zelfs als “niet veilig” gaan tonen.

Gebruik een beveiligingsplugin.
Wordfence, Sucuri, Defender .. het maakt niet uit als je 'm maar gebruikt. Een firewall en een malware scanner helpt ook enorm om hackers buiten de deur te houden.

Zorg voor sterke wachtwoorden
Gebruik passwords die WordPress voorstelt of de Strong Password Generator. Ben je bang dat je een ingewikkeld wachtwoord te snel vergeet gebruik dan bijvoorbeeld LastPass om je wachtwoorden te beheren.

Verander wachtwoorden regelmatig
Heb je veel gebruikers/klanten dan kun je bijvoorbeeld Expire Passwords gebruiken om wachtwoorden automatisch te laten verlopen. Standaard wordt iedere gebruiker dan elke 90 dagen gedwongen om een nieuw wachtwoord aan te maken. Irritant wel maar effectief

Gebruik nóóit “admin” als gebruikersnaam.
Dit is de standaard gebruikersnaam voor de beheerder van een WordPress-website. Een hacker hoeft nu alleen nog maar je wachtwoord te achterhalen 😉

Beperk het aantal login-pogingen
Hackers zitten echt niet de hele dag wachtwoorden in te voeren maar gebruiken een “bot”: een simpel programmaatje dat net zolang wachtwoorden uitprobeert totdat het lukt is om in te loggen. Met een plugin zoals Limit Login Attempts maak je het voor een bot onmogelijk om eindeloos wachtwoorden uit te proberen. Na een aantal mislukte pogingen gaat je website op slot en kunnen er een tijd lang, afhankelijk van je instellingen, geen inlog pogingen meer worden gedaan.