Het kan helaas voorkomen dat een website gehackt en vervolgens misbruikt wordt. Als er malware of spamscripts aanwezig zijn op je website, dan is dit uiteraard erg vervelend. Natuurlijk helpen we je graag om deze situatie zo snel en goed mogelijk op te lossen.
Hieronder vind je uitgebreide informatie over de oorzaken van malware en spamscripts. Tevens vind je de stappen die je moet volgen om het probleem te verhelpen. Alle stappen zijn even belangrijk, sla er dus niet één over.
We kunnen je helpen bij het opschonen en beveiligen van je hostingpakket. We hebben hiervoor een Sitedokter-dienst. Een beveiligingsexpert van Antagonist zal dan je pakket controleren, opschonen, updaten en beveiligen.
Mogelijke oorzaken van malware en spamscripts
1. Een gestolen FTP-account
Het script of bestand kan via FTP op het pakket zijn geplaatst. Dit houdt in dat iemand met kwade bedoelingen de gegevens van (één van) de FTP-account(s) heeft weten te bemachtigen. Deze gegevens kunnen op verschillende manieren gestolen zijn, bijvoorbeeld door:
- het delen van een wachtwoord met anderen;
- het gebruiken van één wachtwoord voor meerdere diensten;
- een wachtwoord op een openbare computer of netwerk gebruiken;
- het slachtoffer te zijn geworden van phishing of malware die wachtwoorden onderschept;
- keyloggers (registratie van toetsaanslagen) of extractie uit een FTP-programma.
2. Een beveiligingslek in de website
De tweede oorzaak is een beveiligingslek in de website zelf. Denk hier bijvoorbeeld aan een (verouderde) installatie van WordPress, Joomla of een ander CMS. Denk ook aan bijvoorbeeld een thema, plugin of extensie die een CMS kan gebruiken.
Wat vaak voorkomt, is dat er een beveiligingslek ontdekt wordt in deze software. De ontwikkelaar ervan brengt vervolgens een update uit om het lek te dichten. Echter, als je de software niet up-to-date houdt, dan kunnen deze gevonden kwetsbaarheden worden misbruikt.
Let op dat dit niet per definitie je primaire website hoeft te zijn. Wat voor kan komen, is dat er een oude variant van de website of een test-installatie op het pakket staat. Zo kan een volledig bijgewerkte website toch gehackt worden door de oude test-installatie in een submap op hetzelfde pakket.
Welke stappen moet je uitvoeren om de problemen te verhelpen?
1. Scan je computer grondig met behulp van een goede virusscanner.
2. Wijzig al je wachtwoorden, inclusief die van database-accounts, DirectAdmin, Mijn Antagonist, FTP-accounts en e-mailaccounts. Vergeet ook niet de wachtwoorden van de software op je webruimte (Joomla, phpBB, WordPress, et cetera).
3. Update de software op de computer die te maken heeft met het websitebeheer, zoals de FTP-client of websitebuilder.
4. Sla geen wachtwoorden op in de FTP-client of in een ander programma dat je voor het uploaden van je website gebruikt.
5. Update alle software op het hostingpakket. Als je software hebt geïnstalleerd met behulp van Installatron, dan kun je daar de software updaten. Zo niet, dan kan je dit handmatig doen.
6. Loop alle bestanden één op één na en controleer of hier malafide code in staat.
We raden je verder aan om wachtwoorden van FTP niet (meer) op te slaan op je computer, maar het wachtwoord bij iedere verbinding opnieuw in te voeren. FTP-wachtwoorden die lokaal op een computer worden opgeslagen, kunnen anders eenvoudig achterhaald worden.
Ook is het van belang dat je wachtwoorden voor jezelf houdt, lastig te raden maakt en niet opschrijft. Als je het beheer met anderen deelt, dan kun je het beste zoveel mogelijk gebruik maken van losse accounts met dezelfde beheerrechten, zodat iedereen een eigen wachtwoord heeft.
Als je de genoemde stappen uit hebt gevoerd, dan kun je je gehele website doorzoeken op achtergebleven stukken code of mappen/bestanden die niet op je webruimte thuishoren en deze verwijderen.
In geval van code-injectie (malafide code die in een legitiem bestand is geïnjecteerd) zul je het geïnfecteerde bestand dienen te vervangen met een schone variant. In dit artikel vind je tips hoe je dat het beste kunt aanpakken.