Har ni fått er WordPress-sida hackad och eventuellt även infekterad med malware, eller misstänker ni att så är fallet? – Hör av dig för att få hjälp att säkra upp och rensa en hackad WordPress-sida.
Jag är en erfaren webbdesigner som arbetat med WordPress i många år. Då och då stöter jag på kunder som kommer till mig med hackad WordPress webbplats. Det handlar då initialt om rensning av hackad WordPress-sida, men sedan även om att säkra upp webbplatsen och förhindra framtida intrång genom ökad WordPress säkerhet.
Därför hackades sannolikt just er WordPress-sida
Först och främst gäller det att förstå att den typiska hackerattacken mot WordPress-sidor inte direkt utförs av en människa, utan av ett robot-skript som testar svagheter på tusentals och åter tusentals WordPress-sidor. Man kan därför dra slutsatsen att hotet i de flesta fall inte är specifikt riktat mot just ditt företag från början.
WordPress är världens vanligaste CMS och driver enligt dem själva 43% av världens webbplatser. Givetvis är det inte bara WordPress som är utsatt för hackerattacker, utan även alla tänkbara webbplatser och olika typer av CMS.
Vanliga orsaker
Några av de mest sannolika orsakerna till att just er webbplats blivit hackad är enligt mig:
- WordPress, plugins eller tema ej uppdaterat
Bristande säkerhetsarbete och avsaknad av uppdateringar av WordPress + plugins. Här gäller det att ha rutiner för webbansvarig eller serviceavtal med en expert på WordPress. - Webbhotellet
Webbhotellets säkerhetsnivå har stor betydelse om du frågar mig. Vissa webbhotell är enligt min erfarenhet mer drabbade än andra. Hör av er till mig om ni vill ha hjälp att välja webbhotell. - Läkta eller kapade lösenord
Det är viktigt att man använder säkra och unika lösenord som man sedan sparar på ett säkert sätt. Läs mer om detta under WordPress säkerhet. - Felaktiga filrättigheter på webbhotellet
Felaktigt inställa läs och skrivrättigheter kan göra WordPress mer tillgängligt att utnyttja för hackaren. - Avsaknad av säkerhetsplugin
Ett säkerhetsplugin såsom Wordfence innehåller brandvägg, anti malware och en rad andra skydd. Det är lite arbete att installera och ger väldigt mycket skydd. - Otur / slump kontra riktade attacker
Det handlar också om otur / slump att rätt typ av attack fick fäste just hos er. Sedan får vi inte glömma att det även förekommer attacker speciellt riktade mot specifika företag, kommuner m.m.
Om hackerattacken lyckas och t.ex. skadlig kod eller innehåll planteras på er WordPress-sida, så är det sannolikt fortfarande inte en hacker i form av en människa som är inne och snokar på er webbsida, utan till en början ett automatisera skript. Men ju mer tid det går och en bakdörr ligger öppen, ju större risk är det att er webbsida utnyttjas i skadliga syften eller saboteras ytterligare. Kontakta mig för rensning av hackad WordPress-sida eller för arbete med höjd WordPress säkerhet.
Vad hackaren vill uppnå
Ofta handlar det om något som gynnar hackararen nu eller senare. Det kan vara att använda er webbplats som deltagare i en överbelastningsattack mot andra webbplatser, användandet av era serverresurser, att plantera falskt innehåll på er webbplats såsom oönskade annonser, skadliga filer som användare lockas att ladda ner eller att stjäla kreditkortsnummer eller annan värdefull information.
Syftet med en hackerattack kan i vissa fall också vara så enkel att man vill visa att det går, vilket ju i sig är mindre skadligt. Detta är ju lite av ett klassiskt exempel på enskilda hackare som vill uppnå status.
Vem är hackaren?
Som nämnts är min erfarenhet att det är mycket vanligt att hackerattacken i alla fall initialt utförs av ett robot-skript som testar svagheter i WordPress-versioner eller specifika plugins eller teman. De som ligger bakom kan vara hackergrupper kontrollerade av stater, organisationer med olika syften, eller kriminella företag som helt enkelt livnär sig på att hacka webbsidor.
Hur man rensar en hackad WordPress-sida
Rensa hackad WordPress
WordPress är världens vanligaste CMS
Nedan följer några av de steg jag går igenom när jag systematiskt rensar en hackad WordPress-installation. Vill du ha hjälp är det bara att höra av dig. Den initiala rensningen går ofta ganska snabbt för mig som är van.
Undersöka backuper före rensning
Om man tror sig veta när hackerattacken utfördes samtidigt som du som kund kanske ej har arbetat med innehållet på din WordPress webbplats den senaste tiden, så är det ofta en bra lösning att börja med att återställa en backup från innan man tror att webbsidan blev hackad. Så kan man fortsätta där ifrån med ev. rensning för att säkerställa att skadliga filer eller skadligt innehåll verkligen är borta och med arbetet att höja säkerheten i WordPress så att framtida intrång förhindras.
Om du istället kontinuerligt arbetar i WordPress, eller du inte vill förlora innehåll, eller om återställning av backup ej är möjligt, så går det oftast bra att rensa och säkra upp sidan ändå.
Innan rensningen påbörjas ser jag också till att det finns en färsk totalbackup av filer och databas. Detta kan vara bra om man skulle rensa för hårt och råkar radera något som är viktigt.
Obs! När man tankar ner en backup av en hackad WordPress-sida behöver man ha ett ordentligt antivirus och brandvägg för operativsystemet. Det är alltid en viss risk att ladda ner en hackad WordPress-installation till din dator, eftersom webbsidan sannolikt innehåller skadlig kod.
Ersätt källkod om möjligt
Genom att radera all källkod som går att radera och ersätta med originalversionerna, så säkerställer du att skadlig kod försvinner. Detta gäller då WordPress, plugins och tema.
För WordPress behöver man dock spara innehållet för filer såsom wp-config.php, .htaccess men även filer som är uppladdade i wp-content/uploads/
Skräddarsydda teman eller andra speciallösningar brukar ofta inte vara drabbade, då hackare ofta använder sig av svagheter i känd kod. Men om man saknar versionshantering för speciallösningar behöver man för säkerhets skull gå igenom all källkod som ej kan ersättas, vilket kan vara tidskrävande.
Granska mappar och filer
I mappen /uploads brukar jag hitta mycket som är suspekt när det gäller en hackad wordpress-sida. Det är vanligt att malware och andra oönskade filer gömmer sig här, vilket bl.a. beror på att mappen /uploads har andra rättigheter än övriga mappar i WordPress. Detta så att inloggade användare kan ladda upp exempelvis bilder, men som tyvärr även utnyttjas av hackare som lyckats plantera in falska användare. Alla mappar under wp-content/uploads behöver skannas och gås igenom noggrant.
Rättigheter
Det är av stor vikt att filer och mappar i WordPress har korrekt inställda rättigheter. Detta så att inte vem som helst kan läsa, skriva eller exekvera filer. Normalt är rättigheterna helt korrekta, men det är inte ovanligt att jag hittar felaktigt inställda rättigheter på hackade webbplatser.
Se upp för falska eller kapade användare
Användare behöver gås igenom och det är ganska vanligt att hackaren skapat falska användarkonton som behöver raderas när det gäller en webbplats som fått WordPress hackat. För befintliga användare genererar jag även nya säkra lösenord.
Rensa databas och innehåll
Även databasen behöver gås igenom och eventuellt rensas upp. Koden för varje undersida lagras i databasen och enskilda sidor kan ha oönskat innehåll eller källkod planterat. Sedan kan även nya tabeller vara skapade eller att befintliga tabeller är manipulerade.
Här använder jag olika scanners som går igenom alla undersidor och letar efter skadligt innehåll. Men även att man manuellt besiktigar databasen i PHPMyAdmin vid behov.
Scanna efter malware
Slutligen gör jag malware-scanningar, dels via externa tjänster, men även via Wordfence. Allt bör nu vara rent, men hittar man något kan man överväga att komplettera tidigare steg mer noggrant.
Säkra upp WordPress och förhindra framtida intrång
Det sista steget är att säkra upp WordPress och förhindra framtida intrång. Det handlar om att se över eller installera säkerhetsplugin med brandvägg och antimalware, säkerställa rutiner eller serviceavtal för kontinuerlig uppdatering av WordPress + plugins, men även hantering av användare och lösenord, säkerhet på sidor för registrering och login, samt hur man kan jobba med webbhotellet och mycket mer. Läs mer om hur jag kan hjälpa er med WordPress säkerhet.
Vanliga frågor
Varför har just vår WordPress-sida hackats?
Oftast är det botar som med hjälp av olika skript angriper tusentals WordPress-sidor i samma typ av attack. Detta innebär att hackerattacken ofta inte är specifikt riktad mot just ditt företags webbplats från början.
Dels kan det handla om stulna lösenord eller att man testar vanliga lösenord. Men ofta handlar det istället om att man försöker utnyttja kända svagheter i vissa, och vanligen utgångna, versioner av WordPress, plugins eller teman. Ofta i kombination av dålig säkerhet och brandvägg på webbhotellet.
Man kan också dra slutsatsen att WordPress, plugins och tema bör hållas uppdaterat. Men det finns också en rad andra åtgärder för att säkra upp WordPress, såsom mjukvarubrandvägg och att byta till ett säkrare webbhotell. Läs mer om WordPress säkerhet och få hjälp med att rensa en hackad WordPress-sida.
Hur rensar man en hackad WordPress-sida?
Dels behöver man säkerställa att infekterad kod tas bort, vilket kan göras exempelvis genom återställning av backup eller att man ersätter källkod för WordPress, plugins och temat, med originalversionerna. Men även att databasen gås igenom och rensas från skadligt innehåll. Slutligen behöver WordPress säkras upp och att säkerhetsarbetet gås igenom, så att framtida hackerattacker ej lyckas. Läs mer om hur man rensar en hackad WordPress-sida.