Stappenplan om malware te verwijderen uit WordPress

WordPress is een gewild target voor kwaadwillenden. De miljoenen websites die op dit systeem draaien zijn niet altijd even goed beveiligd en met het flinke aanbod aan plugins kan het wel eens voorkomen dat er ééntje niet helemaal up to date is en daardoor mogelijk kwetsbaar. 

Deze handleiding is bedoel om malware te verwijderen uit jouw WordPress installatie. Houd er rekening mee dat dit geen eenvoudige activiteit is. Het vereist development/coding skills en kan voor complete opschoning met gemak enkele uren in beslag nemen.

Stap 1 - Backup maken
Maak voordat je begint altijd een backup. Dit kan door in te loggen op cPanel en te klikken op My Applications. Vervolgens kies je de WordPress installatie welke je wilt opschonen en klik je op het pijltje naar rechts om een backup te maken. Zodra deze klaar is kun je door naar de volgende stap.

Stap 2 - Run een virusscan via Imunify360 > Start scanning
Ga in cPanel naar Imunify360 en klik op 'Start scanning'. Je website bestanden zullen nu gescanned worden op Malware, en indien mogelijk ook meteen opgeschoond worden.

Alle bestanden worden tevens in realtime gescanned. Wanneer we een bestandswijziging voorbij zien komen waarmee malware geplaatst word zullen we het getroffen bestand automatisch in quarantaine plaatsen om verdere verspreiding te voorkomen. Enkel wanneer een bestand geupload word in een ZIP bestand en vervolgens op de server uitgepakt word pakt deze tool dat niet direct op. In dat geval kun je een handmatige scan starten, of wachten tot wij de volgende ochtend contact met je opnemen.

Stap 3 - Inloggen via SSH
Log in op je hostingpakket via SSH (zie:  https://support.hoasted.com/article/209-ssh-toegang)

Stap 4 - De WordPress Core bestanden herschrijven
Navigeer naar de map waar WordPress geinstalleerd is. Je bent in de goede map zodra je de 3 mappen wp-admin, wp-content en wp-includes ziet staan.

cd public_html/

Bekijk welke WordPress versie je draait

wp core version

Herschrijf de core bestanden en vervang het versienummer door jouw huidige.

wp core download --version=4.9.6 --force

Verifieer de core bestanden nog even door middel van dit commando:

wp core verify-checksums

In het geval van extra bestanden kun je deze over het algemeen zonder problemen verwijderen. In bovenstaand voorbeeld hebben we alleen de error_log laten staan.

Stap 5 - Check wp-config.php op kwaadaardige code
Kijk of er in de wp-config.php geen vreemde code staat. Zo wel, download dan een nieuwe op https://www.wordpress.org en neem de benodigde gegevens over.

Stap 6 - Verifieer de plugins
Verifieer of alle plugins dezelfde checksum hebben als die uit de repository.

wp checksum plugin
	

Als je nu ziet dat er een aantal plugins zijn waarbij bestanden gewijzigd zijn, download deze dan opnieuw door middel van onderstaand commando (pas het versienummer aan aan het nummer van de desbetreffende plugin)

wp plugin install plugin-naam --version=1.2.3 --force
	

Stap 7 - Controleer de themabestanden
Controleer handmatig alle themabestanden op vreemde code. Over het algemeen staat de malware bovenaan of onderaan, zelden in het midden. Verwijder deze code en eventueel ongebruikte thema's en je Wordpress website is weer malware vrij!

Stap 8 - Houd WordPress en de gebruikte plugins up to date
WordPress en plugin developers zitten niet stil en zodra er een lek in een bestand zit zullen zij dit zo snel mogelijk dichten. Hiervoor is het echter wel noodzakelijk om alles zo goed mogelijk up to date te houden.

Stap 9 - Wachtwoorden wijzigen
Voor de zekerheid is het aan te raden om na het verwijderen van malware de wachtwoorden aan te passen. 

  • WordPress wachtwoord
    Je kunt dit aanpassen door in te loggen in de WordPress omgeving en vervolgens via de gebruikerslijst bij alle beheerders handmatig het wachtwoord te wijzigen.
  • FTP wachtwoord
    Log in op het cPanel van het account en klik op 'FTP accounts'. Klik op de knop 'wijzigen' bij ieder FTP account en pas het wachtwoord aan.
  • cPanel wachtwoord
    Volg onderstaande handleiding om jouw cPanel wachtwoord te wijzigen:
    https://support.hoasted.com/article/126-hoe-wijzig-ik-mijn-cpanel-wachtwoord
Heeft dit artikel je goed geholpen? Dank voor je feedback! Er is een probleem opgetreden bij het verzenden. Probeer opnieuw.

Nog steeds hulp nodig? Contact ons Contact ons