Stappenplan om malware te verwijderen uit WordPress

WordPress is een gewild target voor kwaadwillenden. De miljoenen websites die op dit systeem draaien zijn niet altijd even goed beveiligd en met het flinke aanbod aan plugins kan het wel eens voorkomen dat er ééntje niet helemaal up to date is en daardoor mogelijk kwetsbaar. 

Deze handleiding is bedoel om malware te verwijderen uit jouw WordPress installatie. Houd er rekening mee dat dit geen eenvoudige activiteit is. Het vereist development/coding skills en kan voor complete opschoning met gemak enkele uren in beslag nemen.

Stap 1 - Backup maken

Maak voordat je begint altijd een backup. Dit kan door in te loggen op cPanel en te klikken op My Applications. Vervolgens kies je de WordPress installatie welke je wilt opschonen en klik je op het pijltje naar rechts om een backup te maken. Zodra deze klaar is kun je door naar de volgende stap.

Stap 2 - Run een virusscan via Geavanceerd > Virusscanner

Ga in cPanel naar Geavanceerd > Virusscanner en vink 'gehele basisdirectory scannen' aan en klik op Nu Scannen. Je website zal nu gescanned worden op Malware, en indien mogelijk ook meteen opgeschoond worden.

Stap 3 - Run nog een scan via Geavanceerd > Patchman

Ga in cPanel naar Geavanceerd > Patchman en klik rechtsboven op Scannen. Na een minuutje (afhankelijk van de grootte van jouw website) zal er een lijst verschijnen met bestanden waar malware op is aangetroffen. Je kunt proberen deze direct te fixen, maar slimmer is om de bron aan te pakken en deze handleiding nog even verder door te lopen.

Stap 4 - Inloggen via SSH

Log in op je hostingpakket via SSH (zie:  https://support.hoasted.com/article/209-ssh-toegang)

Stap 5 - De WordPress Core bestanden herschrijven

Navigeer naar de map waar WordPress geinstalleerd is. Je bent in de goede map zodra je de 3 mappen wp-admin, wp-content en wp-includes ziet staan.

cd public_html/

Bekijk welke WordPress versie je draait

wp core version

Herschrijf de core bestanden en vervang het versienummer door jouw huidige.

wp core download --version=4.9.6 --force

Verifieer de core bestanden nog even door middel van dit commando:

wp core verify-checksums

In het geval van extra bestanden kun je deze over het algemeen zonder problemen verwijderen. In bovenstaand voorbeeld hebben we alleen de error_log laten staan.

Stap 6 - Check wp-config.php op kwaadaardige code

Kijk of er in de wp-config.php geen vreemde code staat. Zo wel, download dan een nieuwe op https://www.wordpress.org en neem de benodigde gegevens over.

Stap 7 - Verifieer de plugins

Verifieer of alle plugins dezelfde checksum hebben als die uit de repository.
wp checksum plugin
	

Als je nu ziet dat er een aantal plugins zijn waarbij bestanden gewijzigd zijn, download deze dan opnieuw door middel van onderstaand commando (pas het versienummer aan aan het nummer van de desbetreffende plugin)

wp plugin install plugin-naam --version=1.2.3 --force
	

Stap 8 - Controleer de themabestanden

Controleer handmatig alle themabestanden op vreemde code. Over het algemeen staat de malware bovenaan of onderaan, zelden in het midden. Verwijder deze code en eventueel ongebruikte thema's en je Wordpress website is weer malware vrij!

Stap 9 - Houd WordPress en de gebruikte plugins up to date

WordPress en plugin developers zitten niet stil en zodra er een lek in een bestand zit zullen zij dit zo snel mogelijk dichten. Hiervoor is het echter wel noodzakelijk om alles zo goed mogelijk up to date te houden.

Stap 10 - Wachtwoorden wijzigen

Voor de zekerheid is het aan te raden om na het verwijderen van malware de wachtwoorden aan te passen.

  • WordPress wachtwoord
    Je kunt dit aanpassen door in te loggen in de WordPress omgeving en vervolgens via de gebruikerslijst bij alle beheerders handmatig het wachtwoord te wijzigen.
  • FTP wachtwoord
    Log in op het cPanel van het account en klik op 'FTP accounts'. Klik op de knop 'wijzigen' bij ieder FTP account en pas het wachtwoord aan.
  • cPanel wachtwoord
    Volg onderstaande handleiding om jouw cPanel wachtwoord te wijzigen:
    https://support.hoasted.com/article/126-hoe-wijzig-ik-mijn-cpanel-wachtwoord

Nog steeds hulp nodig? Contact ons Contact ons