Een korte handleiding voor diegenen die met een gehackte WordPress-site zitten, die gehost wordt door One.com. Hoe los je dit op?

1. Ticket indienen via One.com

Als jet goed is heb je een e-mail ontvangen van One.com met het bericht dat je site suspended is. Met andere woorden: je site is offline gehaald. Waarschijnlijk omdat een hacker je site is binnengekomen, daar allerlei scripts heeft achtergelaten en je site nu misbruikt voor illegale dingen. Reply op de e-mail van One.com (met iets van “wat is er gebeurd?”) en je krijgt binnen een enkele dagen een e-mail met daarin een link naar  wat er is gebeurd met je site en welke bestanden zijn aangetast. 

Screen Shot 2014-12-09 at 14.54.56 Screen Shot 2014-12-09 at 14.55.16

2. Je FTP- en MySQL-wachtwoorden veranderen

Verander je FTP en MySQL-wachtwoorden nu meteen. Dat kan je doen door naar One.com te gaan, Configuratiescherm en dan staat er een icon die je verder helpt.

screenshot-ftp-database

3. One.com vragen om je FTP-toegang aan te zetten en oudste back-up van je site vragen

FTP-toegang hebben zij disabled, dus je kan dat niet meer zelf via One.com configuratiescherm doen. Je hebt je back-up nodig om de hele (schone) boel terug te kunnen zetten. Alle individuele bestanden opsporen, deleten, of aanpassen kost veel te veel tijd. Neem contact op met One.com via de chat-functie op One.com

4. Back-up downloaden

One.com zet je back-up op je schijf. Die wil je graag ook op je eigen pc/mac/oid. Dit kan je eenvoudig doen door via een FTP-client (ik gebruik Cyberduck) het mapje waarin je back-up zit, naar een folder op je computer te slepen.

5. Je wordpressbestanden en mappen wissen.

Hup, weg met die gehackte zooi!

Mocht dit niet lukken: Kijk naar de permissies. Via FTP-client: rechtermuisknop> info. Daar kan je de permissies zien en in een tabje kan je de permissies aanpassen. De owner zou “write”-rechten moeten hebben. Nu zou je alles moeten kunnen verwijderen. (Soms een beetje omslachtig door de rechten van ieder mapje door te lopen. Het werkt in ieder geval wel)

UNIX Permissions

Meer informatie over permissions aanpassen met Cyberduck vind je hier en hoe dat met verschillende FTP-clients kan, staat hier.

6. Beperk tijdelijk de toegang tot je site

Maak een .htaccess en .htpasswd file aan. Hoe je dat doet lees je hier. Zo kan niemand jouw site opkomen en kan je met gerust hart de volgende stappen doorlopen.

Screen Shot 2014-12-09 at 15.06.50

7. Uploaden back-up naar je schijf.

Zet je back-up (die hopelijk vrij is van hacker-files is, op je schijf). Ik doe dit door gewoon de map en bestanden (meerdere tegelijkertijd selecteren dus), naar de window van Cyberduck te slepen, waar de toegang tot mijn site openstaat.

screenshot-back-upfiles
Inmiddels heb ik al mijn bestanden die in mijn back-up-map zaten weer teruggezet

8. Wp-config.php updaten met nieuwe password

Open het bestand wp-config en verander je oude MySQL-password naar je nieuwe password. (Dit kan je via je FTP-client doen, maar ook via je File Manager in je One.com-configuratiescherm. Klik daarvoor wp-config.php aan, en vervolgens op “bewerken”.) Meer over dit onderwerp vind je hier.

Screen Shot 2014-12-09 at 15.26.34

9. Vraag One.com je site weer online te zetten

Nu de hackerbestanden weg zijn en je FTP en MySQL-wachtwoorden zijn veranderd, mag je site weer online. Dus eventjes weer contact opnemen met One.com om je site online te laten zetten.

Screen-Shot-2014-12-09-at-16.02.17

10. Inloggen op je site

Ga naar je site (wordpress-inlog). Je ziet dat je moet inloggen (daar heb je net zelf voor gezorgd door middel van stap 7. Dankzij deze inlog-methode voorkom je dat iemand met jouw WordPress-inloggegevens meteen weer de boel kan verkloten, voordat jij de tijd hebt gehad je wachtwoord aan te passen). Nu ben je weer in je WordPress content management systeem en kan je je wordpress-wachtwoord aanpassen.

login-to-your-site

 

11. WordPress-password aanpassen

Pas je WordPress-wachtwoord aan. Eventueel kan je een password-generator gebruiken. Vergeet niet eventuele andere gebruikers met admin-rechten te updaten. (Mocht je een gebruikersnaam als “admin” hebben, verander deze dan naar iets anders, want hiermee maak je het hackers wel heel gemakkelijk).

Screen Shot 2014-12-09 at 16.10.25

12. Update Worpress en al je plug-ins

Zorg ervoor dat je de laatste versies van alles hebt. Grote kans dat de hacker via een verouderde plugin je site in is gekomen.

Screen Shot 2014-12-09 at 16.07.45

13. Verwijder je tijdelijke login

Doe dit door via je FTP-client of je filemanager op One.com de .htaccess en .htpasswd-bestanden te verwijderen.

Screen-Shot-2014-12-09-at-16.17.07

Als het goed is, is je site nu weer helemaal up and running!

Alleen moet je misschien even je laatste posts bijwerken (want mogelijk heb je nog content gemaakt tussen je oudste back-up en het off-line halen van je site in)

Let op! Ik ben niet aansprakelijk voor enige schade die wordt veroorzaakt door het doorlopen van bovenstaande lijst. Ik heb nu in een paar maanden tijd twee verschillende gehackte sites gehad, en bovenstaande stappen heb ik zelf doorlopen om alles weer op orde te krijgen.