Goede beveiliging van je website is belangrijk, geldt ook voor WordPress. In de documentatie en online is hierover al aardig wat te vinden, maar hackers en virusmakers lezen ook.
Eind februari 2012 was deze website slachtoffer van een trojaans virus. Een bevriende webdesigner mailde een screenshot van de waarschuwing die zij kreeg toen ze op de website wilde kijken met een Windows machine. Op mijn MacBook merkte ik het eerst niet. Wat was het probleem en wat te doen?
Site gehackt, malware, digitaal vandalisme! Het voelde als aanranding door een gemaskerde bandiet. Maar actie was geboden.
De website was inderdaad traag en het bewerken van inhoud lukte bijna niet. Eerst maar eens uitvinden waarmee ik te maken had en een manier zoeken om het probleem te lokaliseren.
Online malware scan
Met de scan van Sucuri kwam ik erachter dat met name Javascript in verschillende bestanden door het virus waren veranderd. WordPress systeembestanden en die van het thema. Vandaar de traagheid. De Sucuri scan geeft je precieze informatie over welke bestanden geschonden zijn. Toen ik in die bestanden ging kijken, trof ik hele ritsen foute code aan.
Met uploaden met nieuwe bestanden, inlognaam en wachtwoord vervangen, leek het probleem opgelost. Waar de infectie vandaan kwam was nog een raadsel. De volgende dag was het probleem terug.
Was mijn computer dan besmet? Met de Sophos virusscan (Mac) ontdekte ik dat het virus zich in het tijdelijk geheugen (cache) van Firefox zat, mijn favoriete browser. Het veiligheidslek zat kennelijk niet bij WordPress.
Het betekende wel dat ik behalve mijn eigen websites, ook de websites van klanten moest gaan checken! Gedaan natuurlijk, maar wat een werk.
Gelijk een restyling
Het voormalige opmaakthema van de website bevatte veel besmette bestanden, met name de jQuery-bestanden. Omdat ik op een andere website met Genesis (framework) bezig was, besloot ik deze website daarmee ook gelijk te verbouwen. Zodoende is deze website nu responsive, dus past zich aan op alle schermen – pc, mobiel en tablet.
Tegelijk ben ik gaan kijken naar wat binnen WordPress nog mee gedaan kan worden aan de beveiliging van je website. Vrij snel kwam ik de plugin Bulletproof Security tegen. Dit programma kan je website beschermen tegen verschillende hacks, waaronder SQL-injectie dat onlangs nog bij Zembla aan de orde was.
Dit programma controleert ook gelijk de schrijf- en toegangsrechten van de systeembestanden, iets dat serieuze veiligheidsproblemen kan geven. En dat ik dus eerst handmatig heb moeten doen.
Het belang van back-ups
Zou het niet beter zijn geweest om de site met een back-up te herstellen? En ja, ik heb ze natuurlijk back-ups. maar wel bewaard in de database van de website. Dus welke zet je terug? Opnieuw een geïnfecteerde back-up, want wanneer heeft de besmetting plaatsgevonden? Doordat ik met deze kwestie ben geconfronteerd, zorg ik inmiddels dat ik back-ups extern bewaar.
Een aardige service die ik voor deze website inmiddels heb ingeschakeld is Codeguard. Hiermee kun je gratis van één website (tot 2 GB) een back-up maken en Codeguard scant je digitale boeltje ook gelijk.
Firefox tips
Als je Firefox als browser gebruikt, kun je een aantal instellingen aanpassen om de veiligheid te verbeteren.
Bij Voorkeuren » Inhoud kun je Javascript wel inschakelen, maar bij » Geavanceerd (‘Scripts toestaan om…’) alles uitvinken.
En bij Voorkeuren » Privacy kun je ‘Geschiedenis wissen als Firefox sluit’ aanvinken en bij » Instellingen bijvoorbeeld Buffer wissen inschakelen. Dat voorkomt dat virussen zich in je cache (heet hier dan weer Buffer) worden opgeslagen.
Virus- en malware scanners voor websites (url)
- Sucuri
- Site Inspector
- VirusTotal (ook voor verdachte bestanden)
Antivirus software
Voor Mac kreeg ik ook ClamXav als tip en dus de eerder genoemde Sophos. Voor Windows is Avast – hoor ik – momenteel de beste gratis virusscan.
Conclusie: Wat je ook doet, neem de beveiliging van je website serieus. Zorg dat het geregeld is of wordt. Het bespaart je veel ellende.