Det sker desværre fra tid til anden, at man oplever, at ens hjemmeside bliver hacket på den ene eller den anden måde. Nogle gange så er det slet ikke noget man kan se og andre gange tager hackeren fuld kontrol over hjemmesiden og ændrer indholdet.
Inden jeg kommer for godt i gang, så vil jeg vedkende, at jeg på ingen måde er ekspert på området og kun skriver dette indlæg ud fra mine egne erfaringer og den løsning som umiddelbart ser ud til at have virket for mig.
En lille forhistorie”¦
Som de fleste nok ved, så har jeg forskellige hjemmesider på både engelsk og dansk og indenfor en bred vifte af emner. En dag kom jeg i tanke om, at jeg ikke havde været så flittig til at bruge Google Webmaster Tools til at checke mine websites. Nogle af de nye sider jeg havde lavet, var ikke engang blevet tilmeldt.
Det satte jeg mig for skulle ændres og når jeg nu alligevel var derinde, så skulle jeg lige se på de nye muligheder de har tilføjet (ganske spændende og kan anbefales).
En af sektionerne hedder “Crawl errors” og kan give dig gode hints om ting der kan være galt på dit website. I den forbindelse var jeg inde på en af mine sider og ser, at der er flere hundrede (tror det var omkring 400) URL’er der gav problemer.
I første omgang tænkte jeg ikke nærmere over det, men da jeg så kigge nærmere på dem begyndte det at løbe koldt ned ad ryggen”¦
En masse ukendte URL’er
Alle de URL’er der gav anledning til de mange fejl handlede om alt fra mobiltelefoner til rejser og jeg kunne se, at flere af dem umiddelbart også var relateret til diverse fora. Alt sammen var placeret i en undermappe på mit website og uden at jeg havde nogen ide om at det var sket eller hvordan det var sket.
Da jeg ikke har oplevet dette før, så måtte jeg naturligvis række ud til forskellige for at høre om der var nogen der kunne hjælpe. På nettet fandt jeg et par indlæg som kunne give mig lidt af det jeg havde brug for at vide, men jeg kunne ikke rigtigt finde noget på dansk. De engelske indlæg jeg fandt, er:
Did your wordpress site get hacked
Det der hjalp mig med var dog da jeg kontaktede Anders Saugstrup som havde erfaring med WordPress sider der var blevet hacket og derefter kom jeg frem til nedenstående guide til hvordan man kan slippe af med problemet.
Guide til at fjerne og beskytte mod hacking
Inden du laver nogen som helst form for store indgreb på din side, så er der to ting du altid bør starte med:
- Download alle filer via FTP
- Tag backup af din WP database
Derefter valgte jeg at gøre følgende:
- Slette den “slemme” undermappe gennem mit FTP program
- Scanning af downloadede filer med antivirus og anti spyware program
- Downloadede en ny version af WordPress installationsfilerne
- Oprettede en ny bruger med en ny kode der kan tilgå databasen (via cPanel)
- Klargjorde WordPress installationsfilerne (databasenavn, ny bruger mv.)
- Overskrev (via FTP) de eksisterende WP filer med den nye pakke jeg havde hentet
- Slettede den gamle database bruger
- Skiftede kode til FTP login
Hvis du ikke er så teknisk mindet, så kan overstående måske virke lidt uforståeligt. Lad det ikke skræmme dig. Hvis du selv vil kunne drive dine hjemmesider, så er det noget du skal lære på et eller andet tidspunkt. Alternativt kan du altid hyre nogen til at hjælpe dig og når jeg kan finde ud af det, så bør det ikke være svært at finde andre der også kan (og sikkert meget bedre og hurtigere). 🙂
Ovenstående løste mine problemer og i dag har jeg kun en rest af 3 URL’er som volder problemer i Webmaster Tools. De er stadig relateret til den hacking jeg var udsat for, men heldigvis er jeg ikke længere ramt, så det er kun et spørgsmål om tid inden de fejl er væk også.
Anbefalede plugins til WordPress beskyttelse
I forbindelse med, at jeg talte med Anders, så anbefalede han mig nogle forskellige plugins som kan være med til at beskytte WordPress installationen. Umiddelbart var det ikke der jeg havde problemet (er stadig ikke helt sikker på hvordan de havde fået adgang), men det skader aldrig at være på den sikre side.
Her er de tre plugins han anbefalede:
Den vigtigste af alle anbefalingerne var dog, at huske at bruge forskellige koder til alt og at sørge for, at koderne var lange og besværlige nok.
Der findes heldigvis mange forskellige tools derude som kan hjælpe med at holde styr på de mange koder så du ikke selv skal gå og huske på dem.
Et gratis program til dette er Keepass.
Det værste ved at været blevet hacket
Udover, at min side har fået nogle tæsk af Google og at der er rigtig mange af dens sider som nu ikke længere er i Googles index (jeg håber dog at de langsomt kommer tilbage), så er det der generer mig mest, at jeg ikke ved hvordan jeg skal beskytte mig.
Da jeg ikke kender årsagen til, at de fik adgang i første omgang, så er det svært at vide, hvor der skal sættes ind.
Den gode nyhed er dog, at jeg pt. ikke er ramt og at jeg føler mig bedre beskyttet på alle mine hjemmesider med de nye plugins og de ændrede koder.
Så hvis ikke du har kigget i Webmaster Tools for nylig, så var det måske en god ide lige at kigge forbi.
/Mikael
Det lyder som en rigtig grim omgang!
Hvor er det belastende, at nogle finder det sjovt at ødelægge andres ting online. Og det sker jo oftere og oftere… Vi har selv i år været ramt af hacking, som har kostet voldsomt på Google placeringerne, og vi kan heller ik finde problemet. Alt er søgt igennem af flere, men ingen kan finde måden, hvorpå de fik adgang.
Men en super guide, som du har strikket sammen via Anders´ råd, og den kan sikkert hjælpe rigtig mange, som i fremtiden ender i nøjagtig samme problem!
Hej Morten,
Mange tak. Ja det er lidt irriterende, at det er blevet så udbredt og det er endnu mere ærgeligt, at vi er mange der skal lære at beskytte os på den hårde måde.
Desværre kommer vi nok aldrig af med det problem, for efterhånden som vi bliver klogere, så gør hackerne det også og så har vi skruen uden ende.
Om ikke andet, så håber jeg, at folk i det mindste får installeret de 3 plugins så der er en basal beskyttelse.
Skal man være endnu længere fremme i skoene, så skal man nok indbygge en rutine hvor man løbende skifter passwords til sin ftp, admin profil og databasebruger. Det er ikke sjovt, men det kan hurtigt blive dyrt hvis siden bliver lagt ned eller forsvinder fra indexet.
Hackere er lidt ligesom sport og doping. Snyderne er ALTID et eller to skridt foran, og det er bare en del af spillet, desværre!
Men du har ret i, at man skal beskytte sig basalt, så godt som muligt. Men vi må også erkende, at man ik kan beskytte sig 100%, da der altid kan findes et hul, hvis de vil ind…
Angående nye rutiner, så er og bliver det en del af fremtiden. Der er flere og flere sider, som opbevare fortrolige oplysninger, som kræver at kunderne ændre deres password mm minimum 1-2 gange i kvartalet. Og dette burde man også selv gøre ved sine sites. Masser ekstra arbejde, men det er vel tiden værd, hvis man kan undgå dumme ærgelser og tab…
Men mon ikke der kan være nogle smarte programmører som kan lave en eller anden form for centraliseret løsning så man kan klare alle udskiftningerne fra ét sted? Det vil selvfølgelig også give et single point of failure, men det kunne spare meget tid.
Har man penge, så kan man få ;D
Er det ik sådan man plejer at sige? Det er vel kun et spørgsmål om en evt pris. Jeg er sikker på det nemt kan programmeres, men har ingen ide om, hva prisen måtte være…
Godt indlæg Mikael.
Jeg var i foråret ude for det samme, men med 5-6 sites, som også var wordpress, som vel at mærke var på den samme hostingkonto.
Min udbyder mente dog at det var fordi jeg ikke havde opdateret mine scripts, hvilket nok også var sandt på nogle af dem.
Herfter har jeg installeret et plugin, som sender mig emails med en backup, dels af Databasen, dels af plugins og dels af billeder, og det har jeg så sat til at køre 1 gang om ugen.
Jeg skal helt sikkert også have installeret dem du nævner her.
God pointe Thomas. Jeg modtager selv daglige backup på alle mine væsentlige sites af samme grund og tager indimellem også en fuld kopi af via ftp.
@Thomas
Hvilket plugin er det?
Tak for omtalen, Mikael! 🙂
Det bedste man kan gøre er jo at forberede sig. Dvs have en frisk kopi liggende af wp-content mappen fra FTP samt af databasen.
Når uheldet så er ude, handler det om at opdage det hurtigst muligt så der sker minimal skade for de besøgende og for dine placeringer i Google.
Du kan dagligt tjekke om dine sites er okay, men endnu bedre er det at lave automatiske check.
For eksempel: Brug http://www.aremysitesup.com/ til hele tiden at tjekke om dine sites er oppe. Du kan også indstille at systemet skal tjekke om et ord eller en sætning findes på sitet, hvilket kan advare dig hvis sitets forside for eksempel slettes og erstattes af en træls besked på sort baggrund. (defacing)
Med http://www.changedetection.com/ kan du få emails når noget ændrer sig på din side. Helt ned til små ændringer i tekst og html – fx ved et angreb hvor dit site får lov at leve, men hvor der indsættes skjulte links til tossede sager er det en god alarm at have aktiveret.
Og nu vi er ved links: Ofte skjuler hackerne deres programkode en smule for dig ved at indsætte php kode som krypteret tekst (du ser det sådan: eval(gzinflate(base64_decode… )
I det tilfælde kan du bruge en tjeneste som denne: http://www.tareeinternet.com/scripts/decrypt.php til at se hvad de har skrevet og gjort.
Mvh Anders Saugstrup
Rene guldkorn Anders.
Hej Mikael,
Tak for endnu et godt indlæg. Det er SÅ frustrerende at få sin hjemmeside hacket. Så det var dejligt at læse om, hvordan man kan sikre sig mere. Heldigvis har jeg ikke haft “uventede gæster” siden jeg droppede Joomla til fordel for WordPress. Min uheldige oplevelse har nok medført en del mere sikkerhed på mit site.
Jeg håber ikke, at jeg får brug for at skulle genskabe en hjemmeside efter et uvenligt besøg. Også en tak til Anders for at dele sine guldkorn.
Ha’ en god dag.
mvh
Bjørn Johansen
Håber heller ikke at du får brug for det Bjørn, men som tingene udvikler sig, så sker det nok for os alle på et eller andet tidspunkt. I min situation var det et rent tilfælde at jeg opdagede det. I realiteten kan jeg nemt havde været ramt i 6-12 måneder uden at jeg har vist det.
@Morten. Det plugin jeg bruger der er WordPress Backup (by BTE). Det ligegr også på wordpress.org bibleotek, så du kan bare hente og installere det indenfra din wordpress installation.
Man kan så vælge at få tilsendt backup 1 gang i timen, 1 gang om dagen eller 1 gang om ugen.
@Bjørn Hvilke oplevelse havde du, da du havde joomla? Jeg har nemlig også en joomla installation på et domæne der lå på samme konto som de andre hackede sites. Dog var joomla sitet stadig aktivt.
@ Thomas
Jeg fik en mail om, at der blev brændt Dannebrog af på mit site. Nogen syntes åbenbart, at det var kønnere og bedre end mit oprindelige indhold.
Sitet blev jævnet med jorden og jeg startede helt forfra, med forhøjet alarmberedskab. Det kan have været overkill, men så var der ikke nogle skjulte koderester, som kunne aktiveres.
Jeg kan ikke huske de nærmere omstændigheder. Blot irritationen og frustrationen. Derfor forsøger jeg at holde et højt sikkerhedsniveau på mine nuværende sites – og jævnligt at tage backup af hele sitet. Så – hvis det sker igen – jeg ikke behøver at starte HELT forfra.
Jeg vil lige tage et kig på WordPress BackUp. Indtil nu har jeg brug Bei Fen og download via FTP.
Nu vi lige kom ind på gode plugins ville jeg lige smide dette link til et indlæg af Don Crowther, som vist er StomperNet’s Social Media ekspert, med de bedste plugins han selv bruger.
http://www.doncrowther.com/social-media-strategy/wordpress-plugins-choosing-what-to-install
Samt en lille video hvor han beskriver en del af den i korte detaljer.
Hej Mikael
Det er altid en fornøjelse at læse et indlæg som dette, hvor tekniske detaljer er skrevet i et forståeligt og letlæst sprog. Jeg vil klart gemme dette indlæg sammen med de supplerende oplysninger fra andre kloge herrer, så jeg har en idé om hvad jeg skal gøre, hvis/når det rammer mig. Jeg har endnu kun reserveret en del blogspot.com domæner. Mon jeg også skal være opmærksom på disse sider eller er det noget Google “tager sig af”? Jeg har jo planer om langsomt at overgå til at opbygge og reservere egne domæner, når tiden og de faglige kundskaber bliver gode nok.
Hej Mette,
Blogspot kan også blive hacket, men det er mere hvis du er uforsigtig med dine login informationer. Resten af “sikkerheden” skulle Google meget gerne have styr på 🙂
Har lige fundet ud af at http://www.595.dk artikeldatabasen er blevet hacket, en søgning på google ved “HaCkEd By Th3 KiLL3r” giver over 19.000 resultater. Det er faktisk rimelig vildt synes jeg.
Er andre blevet udsat?
Det er jo år og dag siden du skrev dette indlæg.
Hvilke WP plugins bruger du i dag til at sikre dine sider ikke bliver hacket etc.
Hej Mads,
I dag bruger jeg egentlig kun 2 plugins, nemlig Better WP Security og WP Firewall 2. Derudover benytter jeg MyRepono til at sikre, at jeg altid har en backup. Skulle uheldet være ude, så har jeg også gemt linket til ham her som muligvis ville kunne fikse det: http://fiverr.com/makeitwork/remove-malware-from-your-wordpress-blog
Mvh
Mikael
Interessant og giver stof til eftertanke… Takker mange gange for dit link. Kan måske være nyttigt i fremtiden. Har prøvet en gang at få hele min hjemmeside hacket. 🙁