Is je WordPress website gehackt? In veel gevallen is een hack van WordPress eenvoudig op te lossen. In dit stappenplan helpen we je de met een aantal oplossingen waarmee je hacks en malware in veel gevallen succesvol kunt verwijderen.

Disclaimer: onderstaande stappen zijn helaas geen garantie voor succes. Als het lek waarmee de hacker is binnengekomen niet wordt opgelost, of er ergens wat malware achterblijft, dan ben je zo weer terug bij af. Zorg in ieder geval dat je, in aanvulling op het oplossen van de hack, ook de stappen uit onze handleiding WordPress beveiligen doorloopt.

Voordat je begint, maak een volledige backup van je website. Om te voorkomen dat het opschonen van WordPress mislukt en meer schade aanbrengt, is het raadzaam een backup van WordPress te maken. Hoewel deze backup je geinfecteerde website zal bevatten, is het beter dan géén backup.

WordPress Core, plugins en je thema vernieuwen

Als je website eenmaal besmet is met malware, dan nestelt de malware zich vaak in heel veel bestanden verspreid over je website, waardoor het praktisch onmogelijk wordt om met de hand alle bestanden te controleren. De makkelijkste oplossing is daarom het vervangen van de WordPress core bestanden, pluginbestanden en themabestanden door nieuwe, schone versies.

WordPress Core bestanden vervangen via FTP

Ben je niet bekend met SSH of heb je niet de mogelijkheid gebruik te maken van de wp toolkit, dan kan je de WordPress Core vervangen door een schone versie via FTP. Volg daarvoor onderstaande stappen.

  1. Download de laatste WordPress versie:
    Ga naar de officiële WordPress website en download de meest recente versie van WordPress. Zorg ervoor dat je het .zip bestand op je computer opslaat.
  2. Pak de WordPress bestanden uit:
    Ontpak de .zip bestand die je hebt gedownload om de WordPress bestanden te verkrijgen.
  3. Verwijder de huidige WordPress core bestanden:
    Dit zijn alle bestanden in de root van je WordPress installatie, met uitzondering van het wp-config.php bestand, het .htaccess bestand, en de wp-content map. Deze bevatten belangrijke instellingen en je thema’s, plugins en uploads, dus die wil je behouden. Verwijder de rest van de bestanden.
  4. Upload de nieuwe WordPress core bestanden:
    Upload nu de nieuwe, schone WordPress core bestanden naar je server, in dezelfde directory waar de oude core bestanden waren. Je kunt dit doen via FTP met een programma zoals FileZilla.

WordPress Core vervangen via de wp cli met SSH

Heb je de beschikking over de wordpress commandline tool wp-cli? Dan kan je eenvoudig de core van WordPress herinstalleren door onderstaande commando uit te voeren met SSH, vanuit de map waar de WordPress-installatie zich bevindt:

wp core download --skip-content --force

Herinstalleer alle plugins en thema’s (geautomatiseerd)

We zien vaak dat malware afkomstig is uit plugins en zich verspreid naar de code van andere plugins of naar het actieve WordPress-thema. Daarom is het bij een hack verstandig alle plugins en je thema te herinstalleren. Dat kan geautomatiseerd en zonder dat je alle instellingen, berichten, pagina’s of het design van je thema of plugins kwijt bent.

Er zijn twee opties voor het geautomatiseerd herinstalleren van alle plugins en je thema.

Plugins herinstalleren met de Force Reinstall plugin

Als je de plugin Force Reinstall installeert, dan kan je plugins geforceerd opnieuw installeren, waarbij alle plugin-bestanden vervangen worden door een nieuwe, schone versie.

Krijg je foutmeldingen wanneer je een plugin probeert te herinstalleren? Dan kan het zien dat dit geen legitieme plugin is, dat de plugin niet meer beschikbaar is op WordPress.org of dat het een betaalde plugin is. In deze gevallen dien je de plugin zelf te downloaden, de oude plugin te verwijderen en de nieuwe versie te installeren.

Plugins herinstalleren met de wp commandline tool via SSH

Ga met SSH naar de map waarin je WordPress-omgeving staat. Dat is meestal de map public_html. Voer vanuit die map het volgende commando uit:

wp plugin install $(wp plugin list --field=name) --force 

Alle plugins worden nu opnieuw geinstalleerd. Als bepaalde plugins niet opnieuw geinstalleerd kunnen worden, dan ontvang je daar een melding van. Dit is vaak het geval bij betaalde plugins waarvan bijvoorbeeld de licentie is verlopen.

Controleer op onbekende plugins

Bij een hack zien we regelmatig dat er een verdachte plugin wordt geïnstalleerd. Loop daarom handmatig de lijst met geïnstalleerde plugins na en verwijder plugins die je niet herkent. Sowieso is het verstandig plugins die je niet nodig hebt te verwijderen, om te toekomstig aanvalsscope voor hackers te verkleinen.

Scan je WordPress-website op malware

Nadat je de WordPress Core, je WordPress plugins en je WordPress thema opnieuw hebt geinstalleerd, is het verstandig een malware scan te draaien. Vaak kan dat via het panel van je hostingpartij, maar je kunt ook zelf een plugin installeren waarmee je je WordPress-bestanden op malware kunt scannen. Eén van de plugins waarmee je op malware kunt scannen is Defender Security van WPMUDEV.

Let erop dat WordPress plugins die op malware scannen meestal alleen de bestanden scannen die onderdeel uitmaken van je WordPress-installatie. Helaas zien we af en toe ook besmette bestanden op hostingpaketten die niet worden gedetecteerd door malware scan plugins, omdat deze plugins niet in staat zijn het volledige hostingpakket te scannen.

Controleer de gebruikers in WordPress

Controleer of er geen onbekende gebruikers zijn aangemaakt, waarmee ingelogd kan worden om malafide inhoud op je website te plaatsen of op een andere manier misbruik te maken. Je kunt dit handmatig controleren via het WordPress dashboard: Gebruikers -> Alle gebruikers.

Als bovenstaande niet helpt…

Heb je bovenstaande stappen uitgevoerd, maar helpt dat niet? Dan kan je heb je een paar extra mogelijkheden:

Handmatig bestanden nalopen

Controleer handmatig of onderstaande bestanden verdachte stukken code bevatten. Vaak gaat het om onleesbare code, bestaande uit lange reeksen en letteres en cijfers. Dit is te onderscheiden van legitieme code die – ook al heb je weinig technische kennis – wel leesbaar is. Bestanden die je kunt controleren omdat er vaak malware in zit:

  • .htaccess
  • wp-content/themes/je-thema/functions.php
  • wp-blog-header.php

Hulp inschakelen

Kom je er met bovenstaande stappen niet uit, of heb je liever dat wij de hack voor je oplossen? Neem dan contact op met onze support!

Vergelijkbare berichten