Optimaliseren veiligheid - WordPress malware opruimen

WordPress is een gewild target voor kwaadwillenden. De miljoenen websites die op dit systeem draaien zijn niet altijd even goed beveiligd en met het flinke aanbod aan plugins kan het wel eens voorkomen dat er ééntje niet helemaal up to date is en daardoor mogelijk kwetsbaar.

Deze handleiding is bedoel om malware te verwijderen uit jouw WordPress installatie. Houd er rekening mee dat dit geen eenvoudige activiteit is. Het vereist development/coding skills en kan voor complete opschoning met gemak enkele uren in beslag nemen.

WordPress malware opruimen

Stap 1 - Backup maken

Maak voordat je begint altijd een backup. Dit kan door in te loggen op cPanel en te klikken op My Applications. Vervolgens kies je de WordPress installatie welke je wilt opschonen en klik je op het pijltje naar rechts om een backup te maken. Zodra deze klaar is kun je door naar de volgende stap.

Stap 2 - Run een virusscan via Imunify360 > Start scanning

Ga in cPanel naar Imunify360 en klik op 'Start scanning'. Je website bestanden zullen nu gescanned worden op Malware, en indien mogelijk ook meteen opgeschoond worden.

Alle bestanden worden tevens in realtime gescanned. Wanneer we een bestandswijziging voorbij zien komen waarmee malware geplaatst word zullen we het getroffen bestand automatisch in quarantaine plaatsen om verdere verspreiding te voorkomen. Enkel wanneer een bestand geupload word in een ZIP bestand en vervolgens op de server uitgepakt word pakt deze tool dat niet direct op. In dat geval kun je een handmatige scan starten, of wachten tot wij de volgende ochtend contact met je opnemen.

Stap 3 - Inloggen via SSH

Stap 4 - De WordPress Core bestanden herschrijven

Navigeer naar de map waar WordPress geinstalleerd is. Je bent in de goede map zodra je de 3 mappen wp-admin, wp-content en wp-includes ziet staan.

cd public_html/

Bekijk welke WordPress versie je draait

wp core version

Herschrijf de core bestanden en vervang het versienummer door jouw huidige.

wp core download --version=4.9.6 --force

Verifieer de core bestanden nog even door middel van dit commando:

wp core verify-checksums

In het geval van extra bestanden kun je deze over het algemeen zonder problemen verwijderen. In bovenstaand voorbeeld hebben we alleen de error_log laten staan.

Stap 5 - Check wp-config.php op kwaadaardige code

Kijk of er in de wp-config.php geen vreemde code staat. Zo wel, download dan een nieuwe op https://www.wordpress.org en neem de benodigde gegevens over.

Stap 6 - Verifieer de plugins

Verifieer of alle plugins dezelfde checksum hebben als die uit de repository.

wp checksum plugin

Als je nu ziet dat er een aantal plugins zijn waarbij bestanden gewijzigd zijn, download deze dan opnieuw door middel van onderstaand commando (pas het versienummer aan aan het nummer van de desbetreffende plugin)

wp plugin install plugin-naam --version=1.2.3 --force

Stap 7 - Controleer de themabestanden

Controleer handmatig alle themabestanden op vreemde code. Over het algemeen staat de malware bovenaan of onderaan, zelden in het midden. Verwijder deze code en eventueel ongebruikte thema's en je Wordpress website is weer malware vrij!

Stap 8 - Houd WordPress en de gebruikte plugins up to date

WordPress en plugin developers zitten niet stil en zodra er een lek in een bestand zit zullen zij dit zo snel mogelijk dichten. Hiervoor is het echter wel noodzakelijk om alles zo goed mogelijk up to date te houden.

Stap 9 - Wachtwoorden wijzigen

Voor de zekerheid is het aan te raden om na het verwijderen van malware de wachtwoorden aan te passen.

WordPress wachtwoordJe kunt dit aanpassen door in te loggen in de WordPress omgeving en vervolgens via de gebruikerslijst bij alle beheerders handmatig het wachtwoord te wijzigen.
FTP wachtwoordLog in op het cPanel van het account en klik op 'FTP accounts'. Klik op de knop 'wijzigen' bij ieder FTP account en pas het wachtwoord aan.