Etikettarkiv: dataintrång

Hackad WordPress? Så här gör du

Du vet väl att du kan anlita mig för att rensa upp och utreda en hackad WordPress-installation? Kontakt här >

Har du upptäckt att din blogg länkar till suspekta sajter eller att Google Webmaster Tools larmar? Så här gör du för att undersöka hacket samt återställa bloggen efter det att den blivit hackad.

Omfattning av hacket

Det första är att ta reda på modus operandi. Hur har antagonisten tagit sig in och exakt vad har denne genomfört? Jag skulle nog påstå att något av följande scenarion är mest troliga orsaker till intrång:

  • Någon har knäckt ditt lösenord
  • Sårbarhet i plugin
  • Delad hosting

Det är inte en lätt match att ta reda på tillvägagångssättet då omfattande genomgång av loggfiler samt andra filer måste genomföras. Att redan innan ett intrång genomförs är det bra att kontrollera att du verkligen har tillgång till loggfiler och kan genomföra IT-forensik.

Att söka efter vanligt förekommande PHP-funktioner som används vid bakdörrar såsom preg_replace() med /e (execute), eval, base64_decode eller system() och liknande kan möjligtvis ge några spår. Även så är .htaccess eller liknande filer populära att lägga in bakdörrar

Det kan även vara bra att kontrollera om inlägg har modifierats och iframes eller liknande har in injicerats:

SELECT * FROM wp_posts WHERE post_content LIKE '%<iframe%' OR
post_content LIKE '%<noscript%' OR post_content LIKE '%display:%';

Återställning efter hacket

Det bästa är att installera om samtliga plugins samt WordPress core och sedan återställa WordPress-databasen samt ändra samtliga lösenord i WordPress. På så sätt kan inget ligga kvar och du har troligtvis fått ut antagonisten. Dock finns det möjlighet att du installerar ett plugin som innehåller en sårbarhet igen om du ej genomfört en ordentlig utredning. Observera även att du måste helt tömma din webbroot, det räcker inte att skriva över filer för då kan eventuella extra filer (bakdörrar) ligga kvar.

Om antagonisten är inloggad i WP-admin och cookies är aktiva så måste security-keys ändras och här hittar du hur du gör (i wp-config.php filen).

Har intrånget skett genom delad hosting så kommer du troligtvis att bli hackad igen.

Du kan också givetvis anlita mitt företag Triop AB för att utföra undersökning samt rensa ut eventuella angripare.

Läs även det jag skrev 2012 om samma ämne: