Under senare år har det blivit allt vanligare med hackade webbplatser. Hackarna kan ha olika syften med sina intrång. Ibland handlar det om att få egna sidor att ranka på Google genom att lägga dem ”dolt” på andras domäner. I andra fall planterar hackarna skadlig kod på den drabbade webbplatsen. Då kan syftet istället vara att infektera den webbplatsens besökare med trojaner och virus. Oavsett vilket syfte hackarna har med sin verksamhet så skadar den din webbplats.
Upptäck om du blivit hackad
Det kan vara svårt att upptäcka om en webbplats blivit hackad. Symptomen skiljer sig nämligen åt beroende på vilket syfte hackarna haft med intrånget. Om det handlar om att de vill visa upp sina egna ”dolda” sidor på din webbplats kan dessa oftast hittas genom att göra en s.k. site-sökning. Gå in på Google.se och skriv ”site:dindomän.se” för att lista alla sidor från din domän som Google har i sitt index. Gå igenom de olika resultatsidorna och leta efter suspekta sidor. Hackarnas sidor hamnar ofta lite längre bak i sökresultatet.
Om syftet med intrånget är att sprida skadlig kod kan ditt antivirusprogram varna för detta när du besöker webbplatsen. Om du inte får någon varning från antivirusprogrammet kan problem att logga in vara ett tecken på att webbplatsen hackats. Det hackarna gjort då är att lägga in ett javascript som körs på den dator som försöker komma åt inloggningssidan. Webbplatsen blir då onåbar för dig, men fungerar för alla andra besökare som inte försökt logga in och fått javascriptet kört i sin webbläsare.
Ta reda på syftet med intrånget
Som jag skrivit tidigare har hackarna olika syften med sina intrång. Placera eget innehåll, skadlig kod, eller komma åt en annan webbplats på samma webbutrymme eller webbserver. Den tredje orsaken är viktig att ha i åtanke när du ska städa upp efter hackarna. Om de redan lyckats med sitt uppdrag, att ta kontroll över en annan webbplats, så räcker det inte med att rensa upp på den aktuella webbplatsen. Du måste i så fall gå igenom alla webbplatser i ditt webbutrymme. På vissa webbhotell kan hackare dessutom röra sig mellan olika kundkonton när de väl fått tillträde till ett av dem. Kontakta därför ditt webbhotell och försäkra dig om att de hindrar åtkomst mellan konton som ligger på samma server.
Börja städa
Oavsett syftet med intrånget brukar jag ta det säkra före det osäkra och installera om allt från grunden. Om du kör ett CMS som t.ex. WordPress kan det vara väldigt svårt att hitta all skadlig kod och rensa bort den. Hackarna gömmer den nämligen i WordPress-filer, tema-filer och plugins.
Vill du installera om WordPress, men slippa konfiguera om det, kan du ta bort alla filer och mappar utom uploads-mappen och wp-config.php. Var försiktig om du har ett modifierat tema, då är det viktigt att ha en aktuell och ren backup av det på datorn. Har du ingen backup är det ändå viktigt att noggrant gå igenom det eftersom det är ett populärt ställe att placera skadlig kod. Uploads-mappen sparar vi för att du ska slippa lägga upp alla bilder på nytt, WordPress skapar ju beskärninger med olika suffix. Det är dock extremt viktigt att gå igenom mappen och alla undermappar noggrannt. Hackarna placerar ofta php-filer i de olika undermapparna. Vet du att du endast laddat upp bilder så kan du vara säker på att alla php-filer tillhör hackarna. Wp-config.php går du också igenom manuellt. Jämför den med en wp-config från en ren nyinstallation så att inga funktioner lagts till.
Har du fler WordPress-webbplatser på samma webbutrymme rekommenderar jag att du upprepar proceduren även på dem. Glöm inte heller att gå igenom de mappar som tillhör webbplatser som kör andra CMS eller innehåller statiska webbplatser. Om hackarna har fått tillgång till ditt webbutrymme är det troligt att de placerar bakdörrar och script även där. Missar du att ta bort en bakdörr ger du hackarna fortsatt tillträde och du får snart börja städa igen.
Förebygg framtida intrång
När städningen är klar och ditt webbutrymme är skinande rent är det väl lika bra att förebygga framtida intrång. Bara för att du rensat bort alla skadliga filer betyder det inte att luckan är helt tilltäppt. Det kan såklart vara så att en kommande WordPress-uppdatering har täppt till säkerhetshålet, men hackarna hittar snart nya hål.
Byt lösenord och välj ett starkt. Detta tål att tjatas om. Välj inte ett ord eller namn följt av några siffror. En bra funktion i senare versioner av WordPress är lösenordsgeneratorn. Den genererar lösenord i stil med: 5vdyISErOMKxa8$b2yu)0L7#. Det är ett bra lösenord. Du ska inte använda ett namn eller ett ord som finns med i ordlistan, inte ens om du avslutar det med ett årtal eller 123. Byt även lösenord till mySQL-databasen, webbhotellets kontrollpanel och FTP-kontot. Använd liknande lösenord som WordPress-exemplet, men sätt alltid olika lösenord för de olika delarna.
Installera WordPress-pluginet iThemes Security (tidigare Better WP Security) på alla WordPress-webbplatser (om du har fler). Aktivera så gott som alla säkerhetsfunktioner som finns i pluginet, såvida de inte stör funktionaliteten i din webbplats. En bra funktion i iThemes Security är att man kan byta användarnamn. Använd något annat än ”admin”. Tänk att användarnamnet ska vara svårt att lista ut, då fungerar det lite som ett extra lösenord. En annan funktion som är effektiv mot brute force-attacker är att automatiskt bannlysa de ip-nummer som försöker logga in med användarnamnet ”admin”. Det är nämligen det första hackarna försöker med eftersom det är standardanvändarnamnet i WordPress. Du kan ställa in hur länge bannlysningen ska vara, välj lång tid så att hackarna inte kan återanvända sina ip-adresser lika ofta. Du kan även banna ip-adresser som gjort ett visst antal felaktiga inloggningsförsök. Välj även där att bannlysningen ska vara lång tid, men var försiktig så att du själv inte råkar göra för många felaktiga inloggningsförsök.
En annan förebyggande åtgärd är att alltid uppdatera till den senaste versionen av WordPress, teman och plugins. Då undviker du att hackare kan utnyttja gamla och välkända säkerhetshål. Pluginet Advanced Automatic Updates hjälper dig hålla teman och plugins uppdaterade. Sedan en tid tillbaka gör WordPress automatiska säkerhetsuppdateringar av WordPress-kärnan, dock inte plugins och teman. Därför är detta plugin bra att ha med i sin arsenal.
Behöver du städhjälp?
Låter det avancerat att städa upp efter hackare? Då kan du vända dig till Wedholm Webb & SEO så hjälper vi dig städa helt rent. Använd kontaktformuläret till höger eller ring 013 – 47 48 583.