Wordpress site voor 3e keer gehackt

zondag 12 juni 2016 21:28

Acties:

Topicstarter

Beste Tweakers,

Mijn schoonzusje heeft een Wordpress website voor haar bedrijf. Nu is haar website sinds januari dit jaar al voor de derde keer gehackt.
De eerste twee keren was er een gebruiker aangemaakt binnen Wordpress waardoor er allerlei landingspagina's geupload zijn naar haar server en links op haar site is geplaatst.

Beide keren heb ik de website/server helemaal opgeschoond en de laatste keer heb ik alle wachtwoorden dusdanig aangepast om het de volgende keer een stuk lastiger te maken.
Ik heb de FTP wachtwoord, MySQL database wachtwoord en Wordpress wachtwoord veranderd in allerlei letter, cijfers en karakters.
De vorige keer was Wordpress ook niet helemaal up to date, dus sindsdien zorg ik ervoor dat zowel Wordpress als de plugins altijd up to date zijn.

Vandaag kwam ik erachter dat het dus voor de derde keer raak is. Vooralsnog kan ik alleen vinden dat op elke pagina in de broncode het volgende staat:

<title>www.baiduso.org<title>www.baiduso.org<title>www.baiduso.org<title>www.baiduso.org
<title>www.baiduso.org<!DOCTYPE html>

De website wordt gehost bij Sohosted, kan het daar iets mee te maken hebben?

Mijn vraag is eigenlijk: wat kan ik nu nog doen? En hoe kom ik er achter waar het lek zit?

[ Voor 13% gewijzigd door yorroy op 12-06-2016 21:37 ]



zondag 12 juni 2016 21:39

Acties:

siteoptimo

Zoeken naar het lek is niet evident. Als je site gehackt is kan je beter:

1. Terugdraaien naar een backup indien die er is
2. Indien ze er niet is:

-Alle wachtwoorden aanpassen (DB wachtwoord, user wachtwoorden, SALT in wpconfig, FTP). Zorg voor goeie wachtwoorden.
-Kijken naar laatst aangepaste files en kijken wat er aangepast is
-Alles dat WP specifiek is verwijderen en een manuele clean install doen (met uitzondering van de uploads map en theme)
-Database controleren op inconsistenties
-Rechten controleren, ook van de uploads map
-Thema controleren. Is het thema een up to date thema? Indien selfmade, controleren.
-WordFence installeren
-Alle gebruikers die geen hoofdadminrechten nodig hebben eruit gooien

Een WP installatie opruimen kan wel wat tijd in beslag nemen om het goed te doen. Reserveer maar een paar uurtjes. En kijk zeker ook eens de access logs na. Kan je veel van leren.

[ Voor 0% gewijzigd door siteoptimo op 12-06-2016 21:40 . Reden: theme vergeten :) ]

zondag 12 juni 2016 22:17

Acties:

Kokkers

Overwegen de site over te zetten naar een gespecialiseerde Wordpress hoster? (bijv: http://websynthesis.com/) Ben je zakelijk voor EUR 47,- per maand van het gezeur af.

zondag 12 juni 2016 22:25

Acties:

FotW

Maak je gebruik van een gedownload thema? Best kans dat deze of een plugin lek is. Blokkeer ook toegang tot xmlrpc via htaccess om bruteforcing van het wachtwoord te voorkomen.

zondag 12 juni 2016 22:30

Acties:

mkleinman

8kWp, WPB, ELGA 6

Ik zit zelf ook bij Sohosted en host daar ook diverse wordpress installaties. Je kan Sohosted eens benaderen of zij weten wat er is gebeurd.

Sohosted adviseerde mij destijds om de wp-admin pagina's af te schermen met een extra http username/password, daarmee blokkeer je al een hele vracht automatische bots die proberen dmv brute force binnen te komen.

Duurzame nerd. Veel comfort en weinig verbruiken. Zuinig aan doen voor de toekomst.

zondag 12 juni 2016 22:39

Acties:

yorroy

Topicstarter

Bedankt voor de reacties. Het was gelukkig nog niet zo aangetast als de vorige keer.
Voor nu lijkt het weer op de rit te zijn maar ik kan er op wachten dat het zo weer gebeurd.

Het betreft een gekochte template. De mappen die waren aangetast zaten allemaal in de wp-content map (wordpress-seo, google-sitemap-generator en de map van de template)

Mogelijk de wp-admin inderdaad maar eens ergens anders neerzetten, wie weet helpt dat.
Ik zal ook Sohosted even bellen morgen.



zondag 12 juni 2016 22:48

Acties:

Room42

En... Weet je zeker dat de code nu vrij is van backdoors? Het is niet ongebruikelijk om een backdoor achter te laten zodat je later weer controle kunt krijgen als je hack ongedaan gemaakt is. Daar kom je alleen achter door de code langs te lopen. Zoek bijvoorbeeld eens naar 'eval', als dat erin staat met een base64-encoded string, is de kans groot dat daar iets naars gebeurt. Het is echt veel werk en als je de site echt niet opnieuw op kan bouwen, moet je daar gewoon veel tijd in steken (of een 3^e partij voor inhuren).

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

maandag 13 juni 2016 08:28

Acties:

siteoptimo

yorroy schreef op zondag 12 juni 2016 @ 22:39:
Het betreft een gekochte template. De mappen die waren aangetast zaten allemaal in de wp-content map (wordpress-seo, google-sitemap-generator en de map van de template)

Mogelijk de wp-admin inderdaad maar eens ergens anders neerzetten, wie weet helpt dat.
Ik zal ook Sohosted even bellen morgen.

De wp-admin ergens anders neerzetten? Wat bedoel je hier exact mee?

Het is vaak voorkomend dat ze de hack wat proberen te verbergen door code te verhullen in populaire plugins. Zowel akismet of WPSEO zijn vaak geziene plaatsen.

Als het al de 3e keer is, kan het perfect zijn dat de backdoor al die tijd opengebleven is en dat je op dit moment moeilijk kan kijken naar de laatst aangepaste files.

Het is echt van belang dat je de cleanup dus eindelijk eens grondig doet. Loop eens het lijstje af van in mijn eerste antwoord en probeer je gekochte thema eens grondig door te lichten. Welke plugins zijn er embedded in het thema (vb. sliders,...) en welke versies hebben die? Over welk thema gaat het? Installeer ook een plugin als Limit Login Attempts.

maandag 13 juni 2016 08:37

Acties:

arie_papa

Running on Ubuntu

Ik had een tijd terug wel last van pogingen om in te loggen.

Ik heb toen een 2 dingen gedaan
- .htaccess file in de wp-admin map die alleen mijn eigen IP + mijn werk IP toelaat.
- plugin: Limit Login Attempts geinstalleerd en die ook erg strak ingeregeld

Sindsdien eigenlijk nergens meer last van. Er worden nog steeds pogingen gedaan om op de admin pagina in te loggen maar altijd zonder succes

Statistieken zijn als bikini's: wat ze tonen is erg suggestief, wat ze niet tonen is essentieel

maandag 13 juni 2016 10:06

Acties:

yorroy

Topicstarter

Ik zie erg veel tips voorbij komen, bedankt. Daar ga ik zeker wat mee doen.

Ik heb zojuist gebeld met Sohosted en zij gaan proberen te achterhalen wat er mis is gegaan. Ik zag in Filezilla dat gistermiddag om 16.42 een groot aantal bestanden aangepast zijn, precies de bestanden waarin die title tekst is aangepast. Volgens mij moeten zij dan wel kunnen zien in de logs waar het fout gaat.
Ik heb in ieder geval een back-up van de database, die overigens niet besmet lijkt te zijn. Verder een back-up van het thema zoals die aan het begin was dus kan dan wel eens een schone installatie gaan doen en de aanbevolen plug-ins en tips gaan toepassen.



maandag 13 juni 2016 10:15

Acties:

Breezers

Ik heb goede ervaringen met de gratis variant van Wordfence (https://www.wordfence.com/)

https://nl.wordpress.org/plugins/wordfence/

Tegenwoordig hebben ze hier ook een firewall aan toegevoegd die bestaande zwakke plekken in WP en misbruik hiervan automatisch blokkeert. Naast directe e-mail noticatie, rapportages, live traffic analyse, IP ranges blokkeren, diverse mechanisme om bruteforce en bots te weren zijn er ook een scala aan instellingen mogelijk die aanvallen kunnen tegengaan of in ieder geval het goed lastig maken

“We don't make mistakes just happy little accidents” - Bob Ross

Vraag

Alle reacties