WP hoe hacks voorkomen

Status
Niet open voor verdere reacties.

damnsharp

Terugkerende gebruiker
Lid geworden
6 jan 2012
Berichten
1.385
Hoi,
Bij een WP site zag ik een registratie van een user die daarna administrator bleek te zijn.
Er stond op die site dat mensen zich mogen registreren, dat heb ik meteen uitgezet.
De standaard rol na registreren was overigens abonnee.
De site was up-to-date.

Begrijp niet hoe iemand (hacker) zich toch admin rechten kan toe kennen en vooral wat ik naast up-to-date zijn van sites, een security plug-in, een malware plug-in en een lijstje met maatregelen dat ik al van @bron heb gekregen nog meer nog kan doen.
 
De enige manier om uit te zoeken hoe die dat deed is zorgen dat je alles up-to-date hebt, ook je plug-ins, geen betaalde theme's die je 'gratis' gedownload hebt, en dan kijken in de logfiles of je wat van vinden. Die moet wel aangeven via welk openstaand kiertje iemand toegang verschaft.

Controleer ook goed je mappen of er geen script (een zogenaamde shell) tussenzit waarmee iemand eenvoudig queries of PHP-code uit kan voeren. Dat moet in de logfiles ook naar boven kunnen komen. Mogelijk kan deze bij een eerdere hack geplaatst zijn, en een update van je Wordpress en onderdelen voorkomt dan niet dat deze opeens verdwijnt ;).

Dus: Check je access- en errorlog's!
 
Laatst bewerkt:
Hoi @php4u, bedankt voor je bijdrage. Access/log bestanden zal ik bij provider opvragen.

Nee geen gratis thema's.

De malware scanner zag bestandjes en scripts tussen de regels van bestanden in; die bestanden en die script regels heb ik eruit gehaald en nu is alle troep opgeruimd, viel gelukkig mee want waren maar 15 bestanden.

Natuurlijk wachtwoorden en zo veranderd.
 
Welk controlpanel gebruik je? Vaak heb je zelf gewoon toegang tot de access- en errorlogs.
Ze staan vaak in een mapje hoger dan je webroot waar je website in staat.
 
Voor de veiligheid kan je Wordfence of iThemes Security nemen. Wordfence is echter een van de beste.

Ik heb zowel Wordfence in gebruik als iThemes Security. Die laatste vind ik zelf beter, maar ze hebben allebei zo'n hun voordelen.

lees meer over veiligheid: https://www.wpjournalist.nl/serieus-je-moet-je-wordpress-website-beveiligen/

Op al mijn websites staan dus of Eordfence of iThemes Security. Ik ben nog nooit gehackt. Daarbij moet je zelf natuurlijk ook wat doen. Geen Admin als naam nemen en dat soort dingen. Dat is vragen om moeilijkheden.
 
Bedankt @femke, nou dat is het 'm juist heb WordFence ook geinstalleerd en geen admin oid als user. En alles up-to-date.
De malware scanner MalCare vond mooi de geinfecteerde bestandjes. En ik kreeg melding van een registratie van een user.
 
Die GET-request naar dat vage PHP bestand. Komt deze uit een 200 request, en bestond/bestaat dit bestand?
Die waar komt dat IP vandaan die de cron aanroept? is dat jouw server, of een externe?
 
/?doing_wp_cron
Dit is voor background processing, bijvoorbeeld gebruikt door een kalender/schedular.
Een paar keer lees ik dat je in wp-config.php de ALTERNATE_WP_CRON op false moet instellen, waarom dit wordt bericht weet ik niet.
 
Bedankt @php4u en @bron voor jullie reacties. En Bron het kan zeker liggen aan die GDPR plug-in want die gebruik ik. Staat trouwens nuttige info in het linkje wat je stuurde.
 
Als je iTheme security neemt als veiligheid, https://ithemes.com/security/ dan zet deze bepaalde files op 444.
Dat zijn de config.php en de .htaccess

Ik zet deze ook altijd op 444 ook als ik Wordfence heb. Wordfence doet dit namelijk niet. Op sommige website heb ik wel iThemes.
777 is dat iedereen erbij kan, dus let daarop. De meeste staan op 755, sommige op 644 en de genoemde op 444.

De GDPR plug-in heb k ook op alle websites en heb nergens geen last van. Is het niet een combi met een andere die veroorzaakt wat bij jou het geval is?

Hm, kom ik dit opeens tegen https://www.security.nl/posting/586593/WordPress-sites+gehackt+via+lek+in+GDPR-plug-in
Ik zal eens kijken of er niet een andere plug-in is ie hetzelfde doet.

Aanvallers maken echter misbruik van de kwetsbaarheid om websites te compromitteren die een kwetsbare versie van de plug-in draaien. Verschillende webmasters melden dat er via het beveiligingslek beheerderaccounts zijn aangemaakt en backdoors zijn geüpload. Eigenaren van een WordPress-site met de GDPR Compliance-plug-in krijgen dan ook het dringende advies om naar versie 1.4.3 te updaten en te controleren of er geen onbekende adminaccounts zijn aangemaakt. Ook moet er worden gekeken of de aanvallers geen gebruik hebben gemaakt van WP-Cron om een backdoor te installeren die zichzelf kan vervangen wanneer verwijderd.

Ik heb overigens wel de laatste versie. Hier de laatste versie: https://wordpress.org/support/topic/important-update-to-1-4-3-immediately/

https://www.antagonist.nl/blog/2018/11/wp-gdpr-compliance-plugin/
Deze link geeft je hoe je het moet oplossen, dus doe er je voordeel mee.

Wel een malafide gebruiker gevonden?

Als je wel een malafide gebruiker met de naam t2trollherten of t3trollherten hebt gevonden, dan adviseren we je om het onderstaande te doen.

Maak in DirectAdmin een backup via ‘Create/Restore Backups‘.
Als de backup klaar is, log je in op phpMyAdmin van je database.
Voer nu in phpMyAdmin via het tabblad ‘SQL’ de volgende query uit:

Code:
SELECT @T2 := `ID` FROM `wp_users` WHERE `user_login` = 't2trollherten';
DELETE FROM `wp_users` WHERE `ID` = @T2;
DELETE FROM `wp_usermeta` WHERE `user_id` = @T2;

SELECT @T3 := `ID` FROM `wp_users` WHERE `user_login` = 't3trollherten';
DELETE FROM `wp_users` WHERE `ID` = @T3;
DELETE FROM `wp_usermeta` WHERE `user_id` = @T3;

Deze query verwijdert de betreffende gebruikers volledig uit je database. Om er zeker van te zijn dat je de juiste hebt verwijderd, kun je de ‘wp_users’-tabel en de gebruikers in je WordPress-dashboard nogmaals nalopen.
 
Laatst bewerkt:
Dank je wel @femke98 voor je uitgebreide aanvullingen! Fijn.

Ja ik heb ook de laatste versie op sites staan.
Ken je trouwens InfiniteWP? Handig voor updates plaatsen (mits je zeker weet dat de update geen problemen veroorzaakt).
 
Hoi, nee die ken ik niet. Maar ik wil niet te veel plug-ins op mijn websites. Die kunnen de boel namelijk ook vertragen.
 
Snap ik. Ik gebruik ook niet teveel plugins. Het is de hele tijd schipperen; welke wel en welke niet.
 
Laatst bewerkt:
Eigenlijk zou het lonen om zelf plugins te maken, die aan alle eisen voldoen die je nodig hebt.
Veel plugins zijn 'bloat-ware' en dus voorzien van overbodige opties die de uitvoer vertragen, of zijn voorzien van slecht geschreven queries.

Ik weet niet of er een handige analyzer voor Wordpress bestaat die de laadtijd kan analyzeren, en de bron van lange laadtijden kan vinden?
 
Daar heb je zeker een goed punt @php4u alleen dat is best veel werk ;-) Er zijn gelukkig veel goede plug-ins, je moet ze wel zoeken en weten.
Met bijv webpagetest.org zie je ook een waterval schema met wat een site traag laat. En zo zijn er meer. Ook zijn er plug-ins voor.

Oh en een plug-in als "Plugins Last Updated Column" installeren is ook handig! Die laat zien of een plug-in überhaupt wel geupdate wordt door de maker en hoe lang dat geleden is.
 
Oh en een plug-in als "Plugins Last Updated Column" installeren is ook handig! Die laat zien of een plug-in überhaupt wel geupdate wordt door de maker en hoe lang dat geleden is.
Dat vind ik nou een onzinnige plug-in ;) Want je kan altijd op de website van de plugin kijken en zien hoe lang het geleden is dat een plugin is geupdated.
 
Ik vind hem handig te installeren, te kijken en daarna te verwijderen. Zeker bij nieuwe klanten met plug-ins die ik niet altijd ken of op de hoogte ben.
Maar goed, ieder zijn werkwijze en mening hè.

En... ik vind zelfs dat het als noodzaak bij WP in de core moet zitten. Ik kom wel eens sites van nieuwe klanten tegen die plug-ins gebruiken die al 3 jaar niet bijgewerkt zijn...
 
Laatst bewerkt:
Ik kom wel eens sites van nieuwe klanten tegen die plug-ins gebruiken die al 3 jaar niet bijgewerkt zijn..
Daarom krijgen ze van mij ook een middagje les, en vertel ik hun dat het noodzakelijk is om elke week op een vaste dag bijv. te kijken of er updates zijn. Ikzelf doet het elke maandag, op mijn eigen websites en die ik onderhoud. Zo maak je het een automatisme.
Ook een handleiding met screenshots zodat ze weten hoe of wat.
Plus, als ze zelf hun artikelen of berichten maken in het dashboard en ze zien een update, dan gelijk uitvoeren natuurlijk.
Oh en niet te vergeten te leren hoe ze een back-up moeten maken.

Vergeten ze dit allemaal of denken het zal wel loslopen, en het gaat fout kunnen ze een back-up terugzetten.
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan