Sedan årsskiftet har jag haft nöjet att få jobba mycket med att återställa hackade webbplatser. Eller, ett nöje är väl synd att kalla det. Hur som helst har det varit lärorikt. Hacking är bland det jävligaste en webbplatsinnehavare kan råka ut för. Det som gör det extra jävligt är att det är någon eller några som medvetet förstört ens onlineverksamhet för att själv tjäna pengar. Det är ingen olyckshändelse som ett serverhaveri eller liknande. I det här inlägget ger jag lite tips till dig som vill förebygga, upptäcka eller reparera hackade webbplatser.
Förebygga att webbplatsen blir hackad
Det finns flera saker du kan göra för att förebygga att bli hackad. Ett mycket vanligt sätt för hackare att bryta sig in i en webbplats är att helt enkelt logga in på samma sätt som du. Detta görs ofta med en teknik som kallas ”brute force” (råstyrka). Det är verkligen råstyrka då hackarna har program som gång på gång försöker logga in på din webbplats genom att använda vanliga användarnamn som admin. Admin är det i särklass vanligaste användarnamnet på WordPress-webbplatser. Om du använder det själv så har du gjort det betydligt enklare för hackarna. Lösenorden gissas utifrån ord från ordlistor på engelska eller det språk webbplatsen visar att den är skriven på. Eftersom många vant sig vid att lösenord även ska innehålla siffror kombineras dessa med t.ex. ”123”, d.v.s. Ordlisteord123. På detta sätt låter hackarna ett program testa sig igenom tusentals kombinationer tills de träffar rätt. Ofta har inte webbplatsinnehavaren en aning om att det sker en brute force-attack mot webbplatsen, så hackarna har praktiskt taget all tid i världen på sig. De kan låta programmet tugga på med olika lösenordskombinationer dygnet runt i ett år om det skulle krävas. Byt alltså användarnamn till något som mer liknar ett lösenord, t.ex. Fille12. Skapa ett riktigt krångligt lösenord bestående av 20 tecken, t.ex. 34%GT/54rt(*)f-.R3xT3. För att enkelt kunna logga in använder du en webbläsare som kan spara lösenord, t.ex. Opera.
WordPress-plugin
Det finns bra säkerhetsplugins till WordPress och andra plattformar. Jag rekommenderar iThemes Security (f.d. Better WP Security). Detta plugin ger dig bl.a. dessa möjligheter:
- Byta inloggningssida från /wp-admin/ till något annat, t.ex. /inlogg/
- Byta namn på användaren admin till något mer svårgissat. Något som är viktigt är att ändra användarens smeknamn till något annat än användarnamnet. Om du valt Fille12 i admin och smeknamnet är detsamma kan det komma att skrivas ut under inlägg och texter på webbplatsen. I så fall avslöjar du användarnamnet för hackare.
- Automatiskt banna ip-adresser som försöker logga in med användarnamnet admin.
- Banna ip-adresser och användarnamn efter ett visst antal felaktiga inloggningsförsök.
Dessa är de funktioner jag tycker är viktigast och genom att aktivera dessa har du försvårat avsevärt för hackare att komma in på traditionellt vis.
FTP och databas
Se till att du har starka och unik lösenord för FTP och databaser. Återanvänd inte gamla lösenord och gör dem absolut inte för enkla. I FTP-program kan du spara lösenord så det finns ingen anledning att använda ett slarvigt enkelt lösenord. Detsamma gäller databasens lösenord. Om du kör WordPress behöver du bara ange lösenordet en gång när du laddar upp din wp-config.php, sen sköter sig allt automatiskt. Samma regel gäller som tidigare. Använd ett svårt lösenord som 34%GT/54rt(*)f-.R3xT3
Upptäcka att webbplatsen blivit hackad
För att snabbt upptäcka om din webbplats blivit hackad är det bra att själv vara aktiv. Besök din webbplats regelbundet. Googla på din webbplats genom att söka ”site:dindomän.se”. Då listar Google alla sidor som de har indexerat på domänen. Om du har en normal webbplats bestående av 20-30 sidor ser du snabbt om något det är några konstigheter, t.ex. sidor du inte känner igen. Det är nämligen vanligt att hackare lägger upp egna sidor under din domän. Detta medför att Google kommer visa dem i sitt sökresultat.
Ytterligare åtgärder för att upptäcka hacking är att lägga in webbplatsen i Googles verktyg för webbansvariga. Google upptäcker ofta om webbplatser blivit hackade, och om du registrerat dem i Googles verktyg kommer du få ett meddelande om så är fallet. Min erfarenhet är dock att Google är ganska långsamma när det kommer till meddelandebiten. Det kan dröja innan man ser ett meddelande.
Om du har en mindre webbplats (c:a 20 sidor) kan CTRL+A-metoden också fungera för att upptäcka saker som inte borde vara där. Hackare lägger ofta upp länkar till sina webbplatser, eller andra hackade sajter, på din domän. För att dessa länkar ska bli svårupptäckta görs de ofta i samma färg som bakgrunden, vilket gör dem osynliga. Genom att trycka CTRL+A markeras all text på sidan, även eventuella dolda länkar, vilket gör dem lättare att upptäcka.
Reparera hackad webbplats
För att reparera en hackad webbplats kan jag tyvärr inte skriva en guide. Varje hackerattack ser annorlunda ut och mycket beror på vilket syfte din webbplats haft för hackarna. Den kan ha använts för att sprida virus och malware. Eller så har den använts för att marknadsföra produkter som hackarna tjänar reklampengar på. Eller så har de skapat ”dolda” sidor enbart för att kunna länkar till andra webbplatser för att de ska ranka högre på Google.
För att kunna reparera en hackad webbplats måste jag undersöka den. Behöver du hjälp med den biten är du varmt välkommen att höra av dig. Kontaktformulär finns i sidokolumnen.