Inbreuk op WordPress: spaminhoud

We hebben een inbreuk gedetecteerd die invloed heeft op sommige WordPress-sites. Bij deze inbreuk kunnen aanvallers toegang krijgen tot de inloggegevens van een WordPress-beheerder en bestanden uploaden naar het hosting-account van deze beheerder. Deze bestanden worden dan gebruikt om spaminhoud in het WordPress-thema en/of de database te injecteren, waarmee verborgen links naar frauduleuze sites worden aangemaakt.

Je vindt meer informatie over inbreuken en hoe je ze kunt oplossen in Wat als mijn website is gehackt?.

Tekenen die erop wijzen dat je website gehackt is

Omdat via deze inbreuk verborgen links worden aangemaakt, kun je dit niet zien op je site. De beste manier om te bepalen of je site is gehackt, is door de broncode van je startpagina te bekijken. We raden aan je geïnfecteerde startpagina niet direct te bezoeken, maar in Google® Chrome of Firefox® naar view-source:http://[jouw domeinnaam] te gaan.

In dit venster kun je in de broncode zoeken naar veel voorkomende online fraude, zoals farmaceutische advertenties of snelle leningen. Zoek bijvoorbeeld op de volgende veel voorkomende termen:

  • payday
  • pharma
  • viagra
  • cialis

Oplossingen

De meest eenvoudige manier om deze inhoud te verwijderen is door de inhoud en database van je website te herstellen vanaf een herstelpunt waarvan je weet dat dit niet gehackt is.

Als je geen back-up hebt die je vertrouwt, kun je de inhoud handmatig verwijderen. Deze inhoud bevindt zich vaak op een van de volgende twee locaties: in de koptekst van je WordPress-thema of in je WordPress-database.

Je thema bewerken

Je kunt je WordPress-thema direct openen en bewerken via het bedieningspaneel voor WordPress-beheerders. Als je een back-up hebt van je thema, kun je het thema opnieuw installeren via het menu Appearance (Vormgeving) in WordPress.

Ook kun je de code van je bestanden direct weergeven. Voor informatie over hoe je bestanden kunt bewerken via WordPress, lees je hier de documentatie op WordPress.org.

Hier kun je alle links die je hebt gevonden verwijderen.

Je database opschonen

Als aanvallers kwaadaardige links in je database plaatsen, worden deze vaak achterstevoren ingevoerd om detectie te vermijden (bijv. 'knil' in plaats van 'link'). Je kunt hiernaar zoeken in je database.

Voordat je je database wijzigt, raden we je aan een back-up te maken (meer info).

Je kunt handmatig zoeken naar je databasetabellen via het tabblad Search (Zoeken) in je phpMyAdmin-interface (meer info).

Je kunt ook de volgende databasequery uitvoeren via het tabblad SQL in phpMyAdmin:

SELECT *
FROM `wp_options`
WHERE option_value LIKE '%>vid/<%'

Deze query selecteert alles in je tabel wp_options dat een achterstevoren geschreven div HTML-markering bevat. Je ziet resultaten die lijken op het volgende:

query results

Je kunt de gedetailleerde inhoud bekijken door op het potloodpictogram te klikken. De inhoud van de rij wordt dan groter weergegeven. Hier kun je de inhoud direct bewerken en de kwaadaardige tekst verwijderen. Nadat je de wijzigingen hebt aangebracht, klik je op Go back to the previous page (Ga terug naar de vorige pagina) om de wijzigingen op te slaan. Als alle inhoud kwaadaardig is, klik je op Go back to the previous page (Ga terug naar de vorige pagina) en klik je daarna op het rode pictogram X om het item te verwijderen.

result details

Aanvullende gecompromitteerde bestanden

Wanneer je je thema en/of database hebt opgeschoond, bekijk je de bestanden in je hostingaccount om te controleren of ze geldig zijn. Bij deze inbreuk worden meestal verschillende bestanden geplaatst:

  • ./html/wp-admin/includes/class-wp-locale.php
  • ./html/wp-admin/admin-media.php
  • ./html/wp-content/themes/twentyten/entry-meta.php
  • ./html/wp-content/themes/twentyten/sidebar-funcs.php
  • ./html/wp-includes/theme-compat/content.php
  • ./html/wp-includes/default-option.php

Deze namen lijken misschien geldig, maar de bestanden zijn mogelijk niet legitiem. Je kunt zien welke bestanden legitiem zijn door de code van het bestand te bekijken of door de wijzigingsdatum te vergelijken met andere bestanden in dezelfde map.

We raden aan bestanden die kwaadaardig lijken te verwijderen of een andere naam te geven (waardoor ze worden uitgeschakeld).

Technische info

Voorbeeld van code

MD5Sums van bekende kwaadaardige bestanden

  • dc1cd95ca7dcd00630a208024f89a5e1
  • 6e986fc5328ce3e3b1a36a3025704403
  • 0f183af9a1ed11124655a90b2fff54ac
  • 51377655c4d0b9db67a21b83f99dae4e
  • 51bb25bfbb0db6eb5359a9bc8567f4e6
  • f99b5bfd95336099a4adc436070d5cdd

Was dit artikel nuttig?
Hartelijk dank voor je feedback. Gebruik het supporttelefoonnummer of de bovenstaande chatoptie als je een vertegenwoordiger van de afdeling Klantenondersteuning wilt spreken.
Fijn dat we konden helpen! Kunnen we nog iets voor je doen?
Dat spijt ons. Vertel ons wat je verwarrend vond of waarom je probleem niet is opgelost via de geboden oplossing.