Repareren gehackte WordPress website

Vandaag kreeg ik te maken met een WordPress website die was gehackt. Dat wist  ik niet direct. De layout van de website was in de war gegooid en de klant dacht dat het een Bug betrof. En via www.debugmeester.nl of www.tweakweb.nl kom je dan al snel bij mij terecht.

Stap 1: Via Firebug de page source bekijken.

Dat levert alleen wat op als je hier de pagina per element bekijkt. En dan vooral de gedeelten die vreemd er uit zien. Nog geen enkel teken van een hacker. Gewoon, html, php en css code. Maar de vraag is dan: welke code zorgt voor dit vreemde uiterlijk? In de rechterkolom van firebug kwam ik bij css code terecht die de pagina breedte definieerde op 480px. Dat is wel erg smal.

Stap 2: bevindingen in Google stoppen

Alles dat vreemd is stop ik in Google om te kijken of anderen met hetzelfde probleem kampen. En ja hoor, er is iemand die precies dezelfde css code aanmerkt als probleem. Deze persoon merkt op dat de css code in de stylesheets nergend te vinden is. Nu moeten er belletjes gaan rinkelen. Code die niet in de files te vinden is maar wel op de website gepubliceerd zijn, komen uit een gehackte database of vanuit een spammende website.

Stap 3: website door een infrarode poort laten lopen: testen op hacks

Dat mag ook stap 1 zijn hoor. Er zijn veel verschillende online opties wat dit betreft. Vandaag gebruik ik: http://www.unmaskparasites.com/security-report/ Daar typ ik de URL in en er wordt 1 verdachte code gevonden. Een getal met heel veel cijfers. Dat wijst op een geheime code. Ik kopieer die code en:

Stap 4: opnieuw in Google stoppen

deze code stop ik in de Google zoekmachine. Ja, het blijkt een spammer te zijn. Een code waardoor de poort naar andere ongewenste gegevens geopend wordt. Even doorzoeken en deze code blijkt in relatie te staan tot een gratis WordPress plugin: Google analytics. Tja, heel gemeen maar wel de werkelijkheid. Die plugin werkt mogelijk perfect maar die wil je niet.

Stap 5: plugin deactiveren, deleten en opschonen code

Het bleek voldoende de Google analytics plugin te de activeren en te deleten. De layout van de website was direct gerepareerd. Ik vraag me alleen af:

Stap 6: de inlichtingendienst

Bestaat er ook een centrale inlichtingen dienst wat betreft gevonden hacks in plugins of website code? Zou ik dit ergens moeten melden? Vanavond laat ik het even bij het publiceren op www.dewebkrant.nl en ook dan is er al weer een aardig publiek bereikt.