4 sep 2015
Het komt veel voor, je hebt WordPress net nagekeken en de gehackte bestanden verwijderd en toch ben je na enkele dagen weer terug bij af omdat de website weer spam verstuurt.
Ik als beveiliger van WordPress websites, ken de trucjes zo onderhand die gebruikt worden door hackers om je om de tuin te leiden.
Als je mij inschakelt, til ik het opschonen van de website en het beveiligen naar een hoger niveau door zowel de backdoors en de exploits op te lossen.
Dit kun je niet verwachten van je huidige WordPress programmeur die je website heeft ontworpen of geprogrammeerd.
Het beveiligen is een specialisme waar je 7 dagen in de week mee bezig moet zijn om op de hoogte te blijven van de nieuwste trucs die hackers gebruiken.
Dat gezegd hebbende is het wel interessant om te kijken naar de trucs die hackers toepassen om je WordPress keer-op-keer te hacken.
1e basisfeit: Een hacker schrijft eenmalig een script waar hij weken op zit te coderen. Een script dat een nieuw lek of een bekende functie van WordPress gebruikt.
Het script zal zichzelf naar meerdere bestanden kopiëren en zal de website open zetten voor her-infectie wanneer je het hebt verwijderd.
Tevens zal het script de server waarop het staat, gebruiken om andere websites te vinden waar het hetzelfde trucje weer herhaalt.
Enkele manieren waarop een hack keer-op-keer terug kan komen
- Het bestand dat spam verstuurt is redelijk gemakkelijk te vinden, en dus schrijft de hacker een functie zodat het spam-bestand periodiek opnieuw aangemaakt wordt. Denk bijvoorbeeld aan 1x per 7 dagen. Of soms wel elke 24 uur. Wanneer jij dit probleem opgelost denkt te hebben, heb je dus alleen het gevolg aangepakt maar niet de oorzaak.
- De hacker heeft een functie geschreven waarmee het bestandje een nieuwe gebruiker aanmaakt met administratie rechten. Wanneer je het probleem opgelost denkt te hebben maar geen idee hebt dat die gebruiker in de database is aangemaakt, gebruikt een geautomatiseerd script van jou of een andere server de gebruikers login om weer info op de server te plaatsen.
- Elk bericht en pagina wordt voorzien van een stukje code (inn-content) die je alleen ziet als je de tekst-editor van wysiwyg afhaalt en de tekst versie toont. Kortom als je 100-200 nieuwsberichten hebt en elke bevat een stukje code.. dan kun je het bestand op de server aanpakken maar staat het toch al op elke pagina.
- De hack toont zich slechts 1x per browsersessie. Kiekeboe! Wanneer je denkt dat je het probleem hebt opgelost, is het alleen zo dat de uitwerking van het hackbestand zich niet meer laat zien in je browser. Maar iedere nieuwe bezoeker zal het wel zien. Dit kan in de vorm van een link zijn, een frame over je huidige pagina heen of door een poging te doen tot het plaatsen van een virus bestand voor de computer.
Dit zijn enkele redenen waarom jouw hack steeds terug komt ook al heb je de hackt (dacht je) verwijderd.
Dit zijn slechts 4 manieren, maar hackers kennen veel meer trucs die ik hier niet ga uitleggen. Maar je begrijpt nu wel waarom je het beste een specialist op de website kan zetten als je ECHT een goedwerkende schone website wilt hebben.
“Een hacker schrijft eenmalig een script waar hij weken op zit te coderen.” Blijkbaar hebben hackers tegenwoordig al scripts klaarliggen die alleen wat moeten worden aangepast. Want soms lees je dat al binnen een of meer dagen sites met een kwetsbare plugin of WordPress core worden aangevallen.
Ja, zoals goed programmeurs snippets klaar hebben staan om goede WordPress scripts te schrijven hebben hackers een database met codes waarmee ze hackscripts kunt maken.
Dit zijn standaardcodes waarmee ze bestanden naar de server schrijven, bestanden verwijderen na uitvoering, waarmee ze de CMOD veranderen, schrijfdatums aanpassen, database injecties doen.. en meer van dat soort zaken die eigenlijk gebruikt horen te worden voor het beheren van de server/WordPress website in de goede zin.
Hoeveel kost het als je de website helemaal schoon maakt en weet ik dan zeker dat het probleem niet terug komt?