Vandaag staan we van 9:00 – 15:45 voor je klaar
Vandaag zijn we gesloten

Hoe herstel ik een gehackte WordPress website?

Laatste update: 19 Aug 2020
Als uw website is gehackt, raak dan niet in paniek. Allereerst is het belangrijk om vast te stellen of deze daadwerkelijk is gehackt. Er zijn meerdere manieren waarop een hack kan worden herkend. Hieronder kunt u enkele voorbeelden vinden:

U krijgt meldingen van bezoekers dat zij vanaf uw website worden doorgestuurd naar ongewenste websites. Denk hierbij aan websites met zeer veel advertenties of producten, bijvoorbeeld met een erotisch, financieel of drugs-gerelateerd thema.

Door naar Google toe te gaan kunt u door middel van de zoekopdracht ‘site:domeinnaam’ (waarbij ‘domeinnaam’ vervangen dient te worden door uw eigen domeinnaam; het website-adres) een lijst opvragen met alle geïndexeerde pagina’s van deze site. Zodra hier pagina’s naar voren komen die u niet herkent of er kwaadaardig uitzien is dit een indicatie dat uw website is gehackt.

Uw websites laat voor alle bezoekers advertenties zien die u zelf niet heeft geplaatst. Deze hebben vaak een erotisch, financieel of drugs-gerelateerd thema.


Een gehackte WordPress website herstellen

Zodra u heeft vastgesteld dat uw WordPress-website is gehackt, is het raadzaam om hier zo snel mogelijk werk van te maken. Als de aangevallen versie te lang online staat, kan het gebeuren dat zoekmachines deze pagina’s indexeren. Vervolgens zullen zij uw bezoekers waarschuwen dat de website kwaadaardige code bevat. In extreme gevallen is het zelfs mogelijk dat uw website volledig uit de indexering wordt gehaald en deze daarmee niet meer gevonden kan worden via zoekmachines als Google of Bing. U begrijpt dat dit voor iedere website-eigenaar een doodsteek is.

Onderstaand vindt u een uitgebreide lijst met te ondernemen stappen. Het is raadzaam om de volgorde van deze stappen aan te houden om zo complicaties te kunnen voorkomen. Bij onduidelijkheid is het raadzaam om contact op te nemen met een beveiligingsexpert.

Maak een back-up van uw website en database
Voor er uberhaupt gedacht kan worden aan het herstellen van uw website, is het belangrijk om een back-up van de huidige staat te maken. U wil natuurlijk niet dat uw website onherstelbaar beschadigd raakt indien er een fout tijdens de herstelprocedure wordt gemaakt. In het ergste geval moet u de website kunnen herstellen naar zijn gehackte staat om opnieuw te beginnen met de herstelprocedure. Als u dan geen back-up heeft, zit u met de gebakken peren.

Scan uw lokale (werk)omgeving
Scan uw volledige lokale omgeving op kwaadaardige software. Het kan zijn dat de hack is uitgevoerd door middel van kwaadaardige software op de computer of laptop van de beheerder. Ook zorgt u er zo voor dat eventuele onderschepping van belangrijke data tijdens en na de herstelprocedure voorkomen wordt. Laat een combinatie van antivirus- en antimalware software uw systemen scannen om zo eventuele kwaadaardige software boven water te krijgen. Avast Antivirus en MalwareBytes zijn een goede combinatie die ook nog eens gratis gedownload kunnen worden. Het advies om uw lokale apparaten te scannen geldt voor zowel Windows, OS X als Linux systemen.

Update WordPress, plugins en thema’s
Websites worden vaak gehackt doordat deze gebruik maken van verouderde code. Er is een kans dat dit voor uw website niet anders is. Het is daarom belangrijk om WordPress en de onderliggende plugins én thema's volledig te updaten. WordPress zal verouderde bestanden vervangen met de nieuwe versies, waarmee beveiligingslekken effectief worden gedicht. Dit zorgt er niet voor dat een gehackte website weer volledig schoon is, maar het is toch een van de meest belangrijke stappen van de herstelprocedure. Probeer verder het gebruik van plugins en thema’s die al ruim 6 maanden geen update van hun ontwikkelaar hebben gekregen, te vermijden. Deze toevoegingen aan uw website worden dusdanig slecht onderhouden dat deze een beveiligingsrisico met zich meebrengen.

Scan uw website om de hack te vinden
We raden u aan om WordFence te installeren op uw website. Dit is een gratis firewall plugin waarmee een geavanceerde scan kan worden uitgevoerd. Wel is het belangrijk om in de WordFence-opties eerst de volgende twee opties in te schakelen:

- Scan theme files against repository versions for changes
- Scan plugin files against repository versions for changes

Zodra de bovenstaande opties zijn ingesteld kan een scan worden uitgevoerd. Wacht de resultaten van deze scan af om een duidelijk beeld te krijgen van de aangetaste bestanden. Werk de lijst vervolgens volledig af en zet bestanden terug naar hun originele staat via de ingebouwde mogelijkheid in WordFence. WordFence zal ook uw WordPress installatie controleren op bestanden die eigenlijk niet binnen deze installatie thuishoren. Dit omdat hackers vaak nieuwe bestanden genereren om als ‘backdoor’ te kunnen gebruiken bij een toekomstige hack. Het is cruciaal dat dergelijke bestanden worden verwijderd, en WordFence controleert dan ook op dergelijke bestanden.

Pas alle relevante wachtwoorden aan
Bij een hack kunnen gebruikersgegevens zijn gestolen. Als deze niet worden aangepast kan de hacker opnieuw met de website aan de slag op het moment dat deze is hersteld. Pas daarom de wachtwoorden aan van alle gebruikersaccounts op uw WordPress website, waarbij administrator-accounts de hoogste prioriteit hebben. Ook dient het FTP-wachtwoord en het wachtwoord van uw database te worden aangepast om ongeautoriseerde toegang te voorkomen. Maak altijd gebruik van sterke wachtwoorden met minimaal 12 karakters, een kleine letter, een hoofdletter en een speciaal teken. Het is belangrijk om deze stap pas te nemen op het moment dat de bovenstaande stappen zijn uitgevoerd. Als u per slot van rekening uw wachtwoord verandert voordat de hack is verholpen kan de hacker ook met uw nieuwe gebruikersgegevens aan de haal gaan.

Genereer nieuwe geheime sleutels
Zelfs als uw gebruikersgegevens zijn aangepast kan de hacker toegang hebben tot uw beheerdersaccount. Dit komt omdat er een lopende sessie actief is door middel van eerder-geleverde cookies, welke de hacker mogelijk gebruikt om toegang te krijgen tot uw beheeromgeving. Om ervoor te zorgen dat deze cookies niet langer kunnen worden gebruikt dient er een nieuwe verzameling geheime sleutels te worden gegenereerd. Dit kunt u doen door het ‘wp-config.php’ bestand in uw WordPress installatie te bewerken en hier nieuwe geheime sleutels in op te nemen.

Zoek allereerst het ‘wp-config’ bestand op. Deze kan worden gevonden door met een FTP-programma als FileZilla te verbinden naar de FTP-locatie van uw website. De gebruikersgegevens die u hiervoor nodig heeft zijn ten tijde van de bestelling van uw webhostingpakket per e-mail naar u verstuurd. Vervolgens dient u in de map ‘public_html’ het ‘wp-config.php’ bestand op te zoeken en de code op te zoeken die eruit ziet als in het volgende voorbeeld:

 

define('AUTH_KEY', '}Si$?wyN.(mE:-NEb@ip,d5w| *XH8t`v;N+<X{pfM+85Yjw/ jk=&{S#IA_,&Ei{Z');

define('SECURE_AUTH_KEY', '4+[@})To|@d2Ta= EXI<T$xRXE30z2bV) =D0mjCaT7{%$|:,U= Enw(%+fsoGWxs(j');

define('LOGGED_IN_KEY', '&>^a{;m/NB$Pshr<| dZHm*L+>hHL= y|&X&ReDP_+N) ~UAso1p,PSth.Q$ #U+{5[U');

define('NONCE_KEY', 'YfX.TL&AW*&z| 3YzTbi6w+9HTF2m_+ E|Ioq_2KdBiN:}26} V7kfg+8R<OI[qRjqI');

define('AUTH_SALT', '|$~~F:P[Pm-kyL2+s-sG+5NO| &+5A?kaCc,HBZ#)8j+ LzdRRG5/|Xwly4ptLR+C');

define('SECURE_AUTH_SALT', '0olbi`DwI1sk #7`7b> F GQ@gqvZ2aGT-kGI? @+0%k5TS<+pyG`= a{a:gIA7I[^2');

define('LOGGED_IN_SALT', 'mm,496Q|]oN[e-}FNK} sYk3sjSQK5=+ygk.uo9_ [Ol(%]a30#qfw;Uso? x%A`J34');

define('NONCE_SALT', '+teM4c-i&A+k+KC.|T s0O[ ;Z25eX-f3-:Tm@ !9G`%~,>*iec-$.kp^ 4,eR^_g{3');

 

U dient dit blok met geheime sleutels te vervangen met nieuw-gegenereerde sleutels. Gebruik hiervoor niet de bovenstaande set, maar een nieuwe set die u kunt genereren op deze pagina. Vervang vervolgens het blok in uw ‘wp-config.php’-bestand met hetgeen u zojuist heeft gegeneerd. Zodra u dit heeft gedaan en het bestand is opgeslagen op uw computer, dient u deze te uploaden naar de map waar uw WordPress-installatie zich bevindt.

Scan uw website opnieuw
Om er zeker van te zijn dat uw website na alle bovenstaande stappen weer volledig schoon is dient de WordFence-scan opnieuw te worden gestart. Zodra er geen potentiële veiligheidsrisico’s boven water komen, lijkt de website te zijn hersteld.

Aan de hand van het bovenstaande heeft u als het goed is uw WordPress website volledig kunnen herstellen. Mocht u willen weten hoe u WordPress ook in de toekomst zo veilig mogelijk houdt, klik dan hier om naar het artikel te gaan over het beter beveiligen van uw site.

Een .nl domein registreren? Eerste jaar slechts 3,99
Check mijn domein