quote:
Op donderdag 19 februari 2015 16:00 schreef LeefNu het volgende:[..]
Mmm... je schrijft handelsnaam... tenzij je 'merknaam' bedoelt, heb je juridisch gezien waarschijnlijk geen poot om op te staan.
Mijn handelsnaam is juridisch gezien beschermd doordat ik hem gebruik, ook al heb ik hem niet gedeponeerd als merk. Inderdaad hoeft een handelsnaam niet altijd uniek te zijn, maar aangezien mijn afzetgebied heel Nederland is (mijn voornaamste werkzaamheden spelen zich op internet af), is inbreuk door een ander bedrijf onrechtmatig.
Hoe dan ook, ik heb afgelopen twee dagen gevochten tegen een hardnekkige WP-infectie. Ik had nooit gedacht dat mij zoiets zou kunnen overkomen, omdat ik met grote regelmaat alles update (en backup).
Voor degene die er niet bekend mee is: je krijgt opeens een e-mail van Google of van je host dat je bezig bent met phishing of spam verzenden (ik kreeg beiden). In eerste instantie denk je nog dat het een fout is en/of dat de e-mail zelf phishing is. Ik doe dat toch niet? Ik gebruik toch enkel sterke wachtwoorden en zo? Hoe zouden ze op mijn server moeten zijn gekomen? Achteraf gezien domme vragen, maargoed, ik ben geen ict-er...
Na controle blijkt inderdaad dat er bestanden op je webserver staan (html-pagina's) die een nagemaakt inlogscherm inhouden (in mijn geval onder meer van Dropbox). Zouden mensen (die via mij of anderen door de hacker gespamd zijn) daar hun gegevens inzenden, dan worden die naar de hacker gezonden, terwijl die mooi buiten schot blijft omdat alles op mijn server staat. Tevens loop ik het risico op penalties van Google, blacklists, afsluiting door mijn host, et cetera.
Kortom: opruimen. Maar waar begin je dan? Enkel het verwijderen van de betreffende html/php-bestanden werkt niet, bleek al heel snel. Binnen no-time staan ze er weer (enkel op een andere plaats). Je kunt ook niet je folders doorlopen op zoek naar vreemde bestanden. Afgezien van het feit dat wordpress enorm veel bestanden heeft (en je ze zeker niet allemaal herkent), zit de malafide php-code die inlogpagina's aanmaakt genesteld in verder bonafide bestanden.
In een poging om alles weer op orde te krijgen heb ik toen een backup van de betreffende website teruggezet. Geen resultaat echter: de problemen ontstonden ook bij andere websites omdat ik geen aparte c-panel installaties had gedaan per website.
In overleg met mijn host heb ik daarna een volledige backup teruggezet van mijn gehele public_html map. Het betrof een backup van januari. De infectie bleek nog steeds aanwezig, dus de backup was ook geïnfecteerd. Daarna een backup van december/november teruggezet.
Uiteindelijk is dat, in combinatie met de plugin Wordfence (een soort Wordpress-virusscanner)de oplossing geweest. Dat heeft me echter veel stress gekost en de laatste aanpassingen aan mijn thema's moet ik mijn programmeur opnieuw laten doen.
Wat heb ik hiervan geleerd (en dus: waar moeten de mindere Wordpressgoden zoals ik aan denken)?
• Neem e-mails van de developer van het theme dat je hebt zéér serieus. Ik moest een bepaald thema patchen, maar heb dat niet gedaan omdat ik de e-mail wel heb gekregen, maar was vergeten. Vermoedelijk is men daar binnengedrongen.
• Update met grote regelmaat al je wordpressinstallaties. Ik had één website die ik nauwelijks gebruikte al sinds september niet meer geüpdate. Ook dit kan het punt van binnendringen zijn geweest.
• Maak regelmatig backups. Ik heb dat gelukkig gedaan en ben daar nu zéér blij mee.
• Maak aparte c-panels aan (indien je dat gebruikt) voor elke website. Zo kunnen besmette bestanden van de ene wordpressinstallatie de andere niet infecteren. Ik heb hier fors geblunderd omdat ik hier geen enkele weet van had. Echter, had ik dit goed gedaan, dan was waarschijnlijk enkel een kleine (vrijwel ongebruikte) site geïnfecteerd geweest. Nu was alles geïnfecteerd, inclusief mijn belangrijkste websites met veel bezoekers.
• Denk niet dat het je niet gaat gebeuren, want dat dacht ik ook. Op alle websites had ik extra security plugins draaien en ik deed regelmatig updates (uitzondering staat hierboven). Doe het maar gewoon: extra beveiliging, altijd updaten, aparte c-panelinstallaties.
Ik hoop voor jullie dat jullie nooit met een dergelijk probleem in aanraking komen, want de afgelopen twee dagen waren zeer ellendig. Je ziet je levenswerk op deze manier de prullenbak in verdwijnen (al is dat uiteindelijk niet gebeurd bij mij) en het kost je voor je downtime aardig wat geld.
Iemand ooit iets soortgelijks gehad?
[ Bericht 1% gewijzigd door Thvd op 20-02-2015 12:42:41 ]