Wat zijn malware en backdoors in een gehackte WordPress site?
Wanneer je WordPress website is gehackt, wordt er vaak meer geplaatst dan alleen zichtbare spam. Aanvallers installeren malware om data te stelen of je server te misbruiken en backdoors om later eenvoudig opnieuw binnen te komen. Een backdoor is meestal een verborgen script of gemanipuleerd WordPress bestand waarmee een hacker, zelfs na een herstelde login, alsnog toegang kan krijgen.
Het lastige is dat deze bestanden vaak verstopt zitten tussen legitieme WordPress core bestanden, thema’s en plugins. Daarom is het belangrijk systematisch te werk te gaan in plaats van alleen een verdachte plugin uit te schakelen.
Stap 1: Zet je gehackte WordPress site in quarantaine
Schakel tijdelijk alle frontend toegang uit door onderhoudsmodus te activeren of de site achter een simpele serverauthenticatie te zetten. Dit verkleint de kans dat malware verder wordt verspreid of dat bezoekers worden doorgestuurd naar phishing pagina’s. Log daarna in via SFTP of SSH en maak een volledige backup van bestanden en database, hoe besmet die ook lijkt. Deze kopie gebruik je later om verdachte code te analyseren.
Heb je nog een oudere schone backup, dan kan die later helpen bij het vergelijken van bestanden. In een andere blog hebben we al eens uitgelegd hoe je veilig een gehackte WordPress website herstelt met een backup. Dat artikel vind je hier: WordPress website herstellen na een hack.
Stap 2: Verdachte WordPress bestanden en code herkennen
Controleer core bestanden, thema’s en plugins
Vergelijk de WordPress core bestanden met een originele download van dezelfde versie. Bestanden die plotseling extra code bevatten of onverwachte wijzigingen in wp-config.php en index.php zijn vaak een rode vlag. Controleer ook de map wp-content, vooral uploads, op PHP bestanden die daar normaal niet horen te staan.
Een veelgebruikte truc is het verstoppen van backdoors in bestandnamen die sterk lijken op standaard WordPress bestanden, bijvoorbeeld wp-config-old.php of functions-old.php. Controleer deze bestanden handmatig in een code-editor op verdachte functies zoals eval, base64_decode of system.
Scan database en gebruikersaccounts
Malware beperkt zich niet altijd tot bestanden. Controleer de wp_options tabel op onbekende scripts in geserialiseerde data en kijk of er extra admin accounts zijn aangemaakt. Verwijder onbekende beheerders en wijzig de wachtwoorden van alle accounts. Combineer dit met het instellen van sterke wachtwoorden en bij voorkeur two-factor authenticatie via een security plugin.
Stap 3: Opschonen, herstellen en beter beveiligen
Verwijder alle verdachte bestanden en herinstalleer WordPress core, thema’s en plugins vanuit betrouwbare bronnen. Vervang zo veel mogelijk code in plaats van alleen losse regels te verwijderen. Werk daarna alle componenten bij naar de laatste versie en schakel ongebruikte thema’s en plugins definitief uit.
Stel vervolgens een veiligere hosting en beheeromgeving in. Bij PC Patrol adviseren we vaak managed webhosting, zodat updates, monitoring en beveiligingslagen structureel worden bewaakt. Wil je weten wat dit voor jouw site kan betekenen, bekijk dan onze pagina over managed webhosting.
Tot slot is een continu beveiligingsplan onmisbaar. Denk aan een Web Application Firewall, regelmatige backups, logging en security monitoring. Op onze blog delen we regelmatig verdiepende artikelen over WordPress veiligheid en hosting, zodat je de kans op een nieuwe hack zo klein mogelijk maakt.