Mijn website is gehackt, wat nu?

Inleiding:
Zodra je website is gehackt wil je natuurlijk dat hij zo snel mogelijk weer terug is in een goede staat.
In deze handleiding gaat het vooral om Wordpress websites.

Backup terugzetten?
Het terugzetten van een backup heeft in heel veel gevallen weinig zin.
Het helpt weliswaar om je website terug te krijgen, maar er is een zeer grote kans aanwezig dat het bestand waar misbruik van werd gemaakt er nog steeds in zit.
Hierdoor is je website met een paar dagen weer gehackt.

Blokkade:
Wanneer je website voor langere tijd gehackt is, zal de website op het gegeven moment ook spam mails versturen.
Zodra wij dit opmerken zullen wij de hosting direct blokkeren, om onze mailserver ip adres reputatie te waarborgen.
Wij nemen vervolgens contact op en geven aan dat het account is geblokkeerd.
Vervolgens zullen wij samen met de klant overleggen wanneer we de hosting weer kunnen deblokkeren.
Het is hierbij van groot belang dat er snel actie wordt ondernomen en niet dat het een paar dagen blijft liggen, anders zal de misbruik weer plaatsvinden, met alle gevolgen van dien. In sommige gevallen plaatsen we een: "deny from all, allow from <ip>" in de htaccess, hiermee is enkel uw website offline en niet de email, terwijl bij een totale blokkade op de hosting u ook geen email kunt ontvangen. In de .htaccess kan je je eigen ip adres zetten in de allow from, zo heb jij wel toegang tot de website en kan je het rustig nakijken, terwijl anderen de website niet kunnen gebruiken. Ben je klaar met het aanpassen en denk je dat de website weer schoon is? Stuur dan even een mailtje naar support@internettoday.nl zodat wij je account weer vrij kunnen geven. Nadat het is opgelost is het wel raadzaam om het alles alsnog even goed in de gaten te houden.

Tips om een gehackte website op te lossen:

- Gevaarlijke bestanden verwijderen
Login in de FTP, kijk of u hier vreemde bestanden tussen ziet staan.
Gehackte bestanden zijn vaak generiek en wijken af van een normale bestandsnaam.
Met Wordpress kan je bijvoorbeeld de bestanden van hun site downloaden en vergelijken, staan er bestanden op die er niet thuis horen? Bekijk dan eens de inhoud van het bestand. Een gehackt bestand bevat vaak 1 lange regel en een gecodeerde inhoud, vaak maken ze gebruik van php eval of base64_encode.
Bevat het bestand inderdaad gecodeerde tekens, verwijder dit bestand dan van de server.
Het vervangen van je bestanden met de originele bestanden kan handig zijn wanneer er ook wordpress bestanden zijn aangepast, maar helpt niet de oorzaak weg te nemen.
Om de oorzaak te vinden moet je verder zoeken. Welk bestand heeft het gehackte bestand aangemaakt. Het is belangrijk om dit goed na te onderzoeken, je kan bijvoorbeeld in de wp-content/plugins kijken of er een plugin is die gehackt is, of in de wp-content/uploads/jaar/maand/etc waar Wordpress je foto's in zet. Hier zouden geen .php bestanden in moeten zitten, als dit wel zo is moet je dit bestand ook verwijderen.

- Je website beschermen
Gebruik een beveiligingsplugin bijvoorbeeld wordfence of een andere plugin.

Bekijk daarnaast ook het artikel: hoe beveilig ik mijn website tegen hackers en misbruik om je website te beschermen.