Uiteindelijk – als je het eenmaal weet – is een gehackte WordPress website redelijk eenvoudig op te lossen. Maar voordat je alle ins en outs hebt geprobeerd, ben je wel een tijdje verder. Ik deel daarom graag mijn tactiek en ervaringen voor het verhelpen van WordPress hacks met anderen. Dat bespaart jou een hoop uitzoekwerk.
Mijn tactiek is erop gebrand om de bestanden en de database van je gehackte website zoveel mogelijk intact te kunnen houden.
Waaraan herken ik of mijn WordPress gehackt is?
Als jouw WordPress website gehackt is, zijn er verschillende situaties waaraan je dit kunt herkennen. Denk bijvoorbeeld aan:
- Vreemde teksten op je website die je zelf niet hebt geplaatst.
- Het lukt je niet meer om in te loggen in het WordPress controlepaneel.
- Je vindt op het internet afbeeldingen die afkomstig zijn van jouw website, maar die nooit door jou zijn geplaatst. Meestal zijn dit extreme afbeeldingen.
- Als je je website opzoekt via Google, zie je Engelse of Chinese teksten of pagina’s naar voren komen.
- Er bevinden zich onbekende bestanden op je hostingpakket.
- Er zijn nieuwe gebruikers aangemaakt en zichtbaar in het WordPress controlepaneel.
- Je hoster geeft aan dat er verdachte activiteit op de server is.
Is een WordPress hack gevaarlijk?
Een WordPress hack is helaas nooit onschuldig en kan dus inderdaad gevaarlijk zijn. Zeker wanneer je gegevens van klanten opslaat (denk bijvoorbeeld aan een webshop of registratieformulier), bestaat er een kans dat de hacker er met de gegevens vandoor wil gaan. In het geval van creditcardgegevens is dat natuurlijk extra vervelend.
Verder kan een hacker ook een scriptje installeren op je afrekenpagina’s, zodat het geld niet op jouw rekening, maar op die van de hacker terecht komt.
WordPress gehackt: Wat kan ik er tegen doen?
Door veel dingen uit te proberen, heb ik geleed dat het tegenwoordig vrij simpel is om een WordPress hack op te lossen.
1. Toegang tot WordPress
Je komt tot de ontdekking dat je website is gehackt aan één van de hierboven genoemde situaties. Voor vrijwel iedere situatie geldt ongeveer dezelfde aanpak. Belangrijk vooraf is om te weten of je nog toegang hebt tot je WordPress. Kun je je website en het controlepaneel nog benaderen?
Kun je niet meer inloggen? Vervelend, maar maak je geen zorgen. We gaan die toegang weer voor je terug proberen te krijgen. Om de oplossing te achterhalen, is het belangrijk om eerst te kijken naar het probleem. De oplossing verschilt namelijk:
1.1 Mijn inloggegevens werken niet meer
Je kunt niet meer inloggen en een wachtwoord reset met je e-mailadres lukt niet meer? Om dit op te kunnen lossen, heb je toegang nodig tot de database van je website. Je vindt de database gegevens in het wp-config.php bestand in de public_html of de www map van je webhostingpakket. Wanneer je dit bestand opent, zie je de database gegevens ergens in het midden van het bestand staan. Dat ziet er ongeveer zo uit:
Je moet nu alleen nog weten wat de link is naar je database. Dit verschilt per webhoster (in 50% van de gevallen is het www.jouwdomeinnaam.nl/phpmyadmin). Je kunt dit het beste even navragen bij je webhoster.
Ben je in het bezit van de link? Dan zie je wanneer je die link bezoekt ongeveer het volgende scherm (verschilt per hostingprovider):
Je kunt nu inloggen met de gegevens die je uit de wp-config.php hebt gehaald. Zoek aan de linkerkant de tabel die eindigt op “xx_users” en klik daarop.
Je ziet daar nu alle users die actief zijn op je WordPress omgeving. Zie je je eigen gebruikersnaam hier nog wel tussen staan? Klik dan op de bijbehorende “Wijzigen” of “Edit” knop:
Wijzig daar het e-mailadres naar je eigen e-mailadres en klik op “Starten“. Gelukt? Ga dan terug naar je WordPress controlepaneel (jouwdomeinnaam.nl/wp-admin) en vraag een wachtwoord reset aan. Je ontvangt nu als het goed is wel een e-mail.
Zie je jouw gebruikersnaam niet in de lijst staan? Wijzig dan de user_login en de user_email van een andere login naar je eigen gegevens. Herstel vervolgens op dezelfde manier het wachtwoord.
1.2 Ik zie geen WordPress inlogscherm meer
Kun je jouw inlogscherm helemaal niet meer zien? Dan heeft de hacker waarschijnlijk al toegang gekregen tot je bestanden. In de meeste gevallen heeft de hacker in dat geval 1 (of alle) van de volgende 2 bestanden aangepast:
- De .htaccess (grootste kans!): je vindt deze in de public_html of www map (afhankelijk van je hostingprovider)
- De wp-config.php: je vindt deze in de public_html of www map
Open deze bestanden en kijk of je gekke dingen ziet. Maak een back-up van beide bestanden en zet eventueel een standaard versie van het .htaccess bestand terug. Grote kans dat je website nu wel werkt.
2. Maak een back-up van je website
Voordat je begint, is het altijd verstandig een back-up te maken van je bestanden. Mocht er iets fout gaan, dan kun je gemakkelijk alles terugzetten. Ik maak zelf altijd gebruik van de plug-in UpdraftPlus voor het snel maken van een back-up.
2. Installeer Wordfence
Wordfence is in feite alles wat je nodig hebt als je WordPress gehackt is. Installeer de plug-in en laat de Wordfence scan gelijk alle bestanden in je website nalopen. Wordfence herkend automatisch eventuele verdachte bestanden en kan vreemde inlogpogingen direct detecteren en blokkeren.
Zodra de Wordfence scan klaar is, krijg je een overzicht van bestanden die niet thuis horen in je WordPress omgeving. Verwijder die bestanden. Let op: verdiep je goed in de bestanden die je verwijderd en verwijder niet zomaar alles klakkeloos.
Loop verder de instellingen van Wordfence na om de beveiliging nog wat beter naar jouw wensen aan te scherpen.
3. Verwijder verdachte gebruikers
De volgende stap is controleren of de hacker geen verdachte accounts heeft toegevoegd. Je kunt dit doen bij Gebruikers in het WordPress menu. Zie je daar verdachte accounts? Verwijder ze dan allemaal.
Maak je gebruik van Woocommerce? Controleer dan ook of er daar geen gebruikersaccounts zijn aangemaakt.
4. Wijzig al je wachtwoorden
De volgende stap: wijzig al je wachtwoorden:
- Wijzig alle wachtwoorden onder Gebruikers in het WordPress menu.
- Wijzig je database wachtwoord (raadpleeg je hoster als je niet weet hoe dat precies moet).
- Wijzig eventuele FTP wachtwoorden (raapleeg hiervoor ook je hoster als je niet weet hoe dat moet)
5. Update WordPress, thema’s en plug-ins
Updates zorgen ervoor dat beveiligingslekken in WordPress, thema’s of plugins worden gedicht (mits daar natuurlijk al een update voor is uitgerold).
Let op: voordat je aan de slag gaat met het updaten van WordPress, is het verstandig een back-up van je website te maken.
6. Verwijder onnodige thema’s en plug-ins
Hoe meer plug-ins en thema’s je hebt (of ze nu actief zijn of niet), hoe groter de kans dat er ergens een beveiligingslek zit. Met het opschonen van je plug-ins en thema’s, kun je dus je risico op een hack beperken. Verwijder alle inactieve of onnodige thema’s en plug-ins uit je WordPress omgeving.
7. Kies een goede betrouwbare hostingpartij
Het kiezen van een goede hostingprovider is van groot belang om hacks te kunnen voorkomen. Er zijn hostingproviders die Managed WordPress hosting aanbieden. Dat betekent dat zij ervoor zorgen dat je website veilig is en blijft. Mocht je website toch onverhoopt gehackt worden, dan helpt je hostingprovider je bij het herstellen hiervan.
7. Vermeld aan Google dat de hack is verholpen
Misschien heb je ontdekt dat je bent gehackt omdat je die melding vanuit Google hebt gekregen. Om Google te laten weten dat de hack is verholpen, kun je dit aangeven in je Google Search Console omgeving. Hoe je dat kunt doen, lees je hier.
Houd er rekening mee dat het een aantal dagen kan duren voordat Google je verzoek behandeld. Je ziet dus geen direct resultaat.