Ik heb een eenvoudige website, die gemaakt met Wordpress. Deze is nu al een aantal keren gehacked.
Ik ben IT-er, heb alleen niet veel ervaring met websites. De website genereert geen geld dus ik kan hiervoor ook geen expert inhuren, ben dus zelf maar erin gedoken.
Updates doe ik regelmatig, gebruikte plugins:
Mesmerize thema
Duplicator
Ik heb op mijn lokale PC een Wordpress-server draaien, via de duplicator plugin maak ik nu een archive en zet deze over op de webserver.
Hosting heb ik bij transip.
De eerste keer heb ik uitgezocht wat er mis gegaan zou kunnen zijn. Toen vond ik op de server in de tmp-directory een PHP-script met een wazige naam. Dit script vraagt o.a. DB-username en wachtwoord doet daarna:
SELECT TABLE_SCHEMA,TABLE_NAME FROM information_schema.TABLES WHERE `TABLE_NAME` LIKE '%post%
Via ene update wordt daarna een link naar een website met reclames toegevoegd in de database.
Ik vond toen meldingen over een kwestbaarheid in de gebruikte versie van de duplicator plugin, zeker als je de installatie-bestanden laat staan op de server. Ik ben ervan uitgegaan dat dat het probleem was:
* Wordpress en plugins geupdate
* Alle wachtwoorden gewijzigd
* Na installatie op de server alle installatie-bestanden verwijderd.
Daarna heb ik een ander soort hack gehad waarbij de index.php gewijzigd was. Backup teruggezet, WP en plugin's geupdated.
Dezelfde SQL-insert als eerder heb ik nu ook weer. Kan er een kwetsbaarheid in het blog-onderdeel van WP zitten(gebruik ik verder niet?). Wat ik nu zelf kan verzinnen:
*Wachtwoorden opnieuw wijzigen
*Tabel-prefixen aanpassen zodat een SQL-insert niet meer werkt
*website opnieuw deployen
*Directory Listing uitzetten
Het is me alleen niet duidelijk of ze via FTP toegang hebben of dat dit op een andere manier gebeurd is.
Welke stappenplan kan ik volgen om dit verder te onderzoeken en te voorkomen?
Ik ben IT-er, heb alleen niet veel ervaring met websites. De website genereert geen geld dus ik kan hiervoor ook geen expert inhuren, ben dus zelf maar erin gedoken.
Updates doe ik regelmatig, gebruikte plugins:
Mesmerize thema
Duplicator
Ik heb op mijn lokale PC een Wordpress-server draaien, via de duplicator plugin maak ik nu een archive en zet deze over op de webserver.
Hosting heb ik bij transip.
De eerste keer heb ik uitgezocht wat er mis gegaan zou kunnen zijn. Toen vond ik op de server in de tmp-directory een PHP-script met een wazige naam. Dit script vraagt o.a. DB-username en wachtwoord doet daarna:
SELECT TABLE_SCHEMA,TABLE_NAME FROM information_schema.TABLES WHERE `TABLE_NAME` LIKE '%post%
Via ene update wordt daarna een link naar een website met reclames toegevoegd in de database.
Ik vond toen meldingen over een kwestbaarheid in de gebruikte versie van de duplicator plugin, zeker als je de installatie-bestanden laat staan op de server. Ik ben ervan uitgegaan dat dat het probleem was:
* Wordpress en plugins geupdate
* Alle wachtwoorden gewijzigd
* Na installatie op de server alle installatie-bestanden verwijderd.
Daarna heb ik een ander soort hack gehad waarbij de index.php gewijzigd was. Backup teruggezet, WP en plugin's geupdated.
Dezelfde SQL-insert als eerder heb ik nu ook weer. Kan er een kwetsbaarheid in het blog-onderdeel van WP zitten(gebruik ik verder niet?). Wat ik nu zelf kan verzinnen:
*Wachtwoorden opnieuw wijzigen
*Tabel-prefixen aanpassen zodat een SQL-insert niet meer werkt
*website opnieuw deployen
*Directory Listing uitzetten
Het is me alleen niet duidelijk of ze via FTP toegang hebben of dat dit op een andere manier gebeurd is.
Welke stappenplan kan ik volgen om dit verder te onderzoeken en te voorkomen?
/u/113601/crop5e3f183d640f8_cropped.png?f=community)
/u/172597/crop5e1225c8b1011.png?f=community)