WordPress-side hacket – Hvad gør man?

Hvad gør man når ens hjemmeside er blevet hacked? Vi blev kontaktet af et firma som havde en WordPressløsning der var blevet hacked flere gange på kort tid. Det betød at de blev blacklisted af Google, og at deres kunder havde svært ved at tilgå hjemmesiden.

Symptomer på at sitet er hacked

Vi blev kontaktet af et firma som havde haft deres hjemmeside kørende et godt stykke tid, og som pludselig oplevede nogle af de typiske tegn på at deres hjemmeside var blevet hacked:

  • Beskeder om inficerede filer fra antivrus-programmer
  • Advarsler fra browseren og Google
  • Viderestillinger til mystiske sider
  • Download af mistænkelige filer

Forløb

Kunden havde i samarbejde med deres tidligere webbureau forsøgt at løse problemet, ved at opdatere plugins og scanne hjemmesiden med et gratis WordPress-plugin til scanning af virus. Det viste at der var flere mistænkelige filer, og at en række filer var blevet ændret. Man valgte at slette de mistænkelige filer, opdatere alle WordPress-core filer så ændrede filer blev overskrevet, og at ændre alle passwords for brugere, FTP og databasen. Herefter håbede de at problemet var løst.

En uges tid efter deres forsøg på at løse problemet skete det igen, med præcis samme symptomer.

Identificering angrebet

Den store fejl i den tilgang der var blevet brugt i forsøget på at løse problemet var, at man ikke forsøgte at forstå hvordan angrebet var sket. Når man ikke forstår hvordan angrebet er udført, er det meget svært at lukke sårbarheden. Så bliver det rent gætteri og held.

Det vi hos Eksakte gjorde var, at se på log-filerne, som hurtigt afslørede hvordan WordPress-siden var blevet hacked. Her er et lille udpluk fra log-filerne, som afslørede hvordan angrebet var foregået.

wordpress-side-hack-revslider

Ovenstående viser os at angriberen først checker om hjemmesiden har det plugin der hedder “Revolution slider”, og om versionen af pluginet har den sårbarhed de leder efter. Når angriberen har fundet ud af, at sårbarheden eksisterer, uploades filer som gør det muligt at tilgå siden uden login-informationer.

Løsning

Da kunden og de tidligere wordpress-udviklere opdaterede alle plugins, opdaterede de i virkeligheden ikke alle. Når man inde i WordPress-administrationen går til oversigten over plugins, viser WordPress hvilke plugins der findes i en nyere version, men dette gælder ikke altid for betalte plugins. Gratis plugins, der hentes via administrationen eller wordpress.org, giver rigtigt nok besked i oversigten når de bør opdateres, men det gør betalte plugins ofte ikke. Der kan være stor forskel på hvordan betalte plugins giver besked om nye opdateringer, og hvordan de skal opdateres.

Efter at have opdateret Revolution slider var det selvfølgelig nødvendigt at ændre alle login-informationer til både FTP, Database, WordPress-brugere osv.
Da siden var blacklisted hos Google måtte vi efterfølgende informere Google om at problemet var løst via Webmaster Tools.

Generelle sikkerhedsanbefalinger

  • Opdater WordPress
  • Opdater alle plugins, også betalte
  • Brug stærke passwords
  • Brug ikke brugernavne som “admin” og “administrator”
    Disse er ofte mål for brute-force angreb, hvor man prøver at “gætte” den tilhørende kode.
  • Sørg for at der bliver taget backups af hjemmesiden
  • Slet plugins som du ikke bruger