Genveje
Kontrolpanel Webmail Driftstatus
Gå til kurv
E-mail

Hacket WordPress – Hvad skal jeg gøre?

WordPress-hjemmesider, som mange af vores kunder afvikler fra vores webhoteller, risikerer at blive hacket, hvis de ikke holdes opdateret – eller hvis der bruges svage adgangskoder til WordPress-brugere.

Derfor er det vigtigt, at den webansvarlige løbende sikrer:

  • at WordPress (core) er opdateret

  • at temaer og plugins opdateres

  • at der bruges stærke adgangskoder (gerne også 2FA)

WordPress kan ofte opdatere mindre ændringer automatisk, mens større versionsopdateringer typisk kræver ekstra opmærksomhed. Vi anbefaler også at slå automatiske opdateringer til for temaer og plugins på de fleste sider.

Netsite anbefaler desuden, at du tilmelder dig nyhedsbreve fra udviklerne af dine temaer og plugins, så du kan følge med i ændringer og vigtige sikkerhedsopdateringer. Hvis du bruger betalte temaer/plugins, er det vigtigt at holde licensen aktiv, så du fortsat modtager opdateringer.

Rens & genskab hacket WordPress-side

Skulle uheldet alligevel være ude, og du oplever, at din WordPress-side er hacket (Netsite informerer kunden direkte, hvis vores malware-scanner detekterer det), kan du rense siden ved at følge processen nedenfor.

Udførelsen af processen kræver et vist kendskab til computere og hjemmesider. Vi anbefaler, at du læser hele guiden igennem, før du går i gang. Hvis du er i tvivl om, hvorvidt du kan gennemføre processen, kan det være en god idé at få hjælp fra en med mere erfaring eller at hyre en professionel.

Bemærk

Et alternativ til at rense en hacket WordPress-side er at gendanne den fra en backup. Netsite-kunder med et Medium- eller Largesite-webhotel kan med fordel bruge vores daglige backup til at gendanne siden.

Backup af både hjemmesidefiler og database kan hentes via FTP på ftp.netsite.dk.

Netsite kan også gendanne din side fra en backup. Bemærk, at dette kan være mod betaling (se webhotel-prisliste).

Opgaven igangsættes ved at skrive til netsite@netsite.dk. Når du skriver til support, så oplys gerne hvilket domæne/webhotel det drejer sig om, hvilken dato (og evt. tidspunkt) du ønsker gendannet fra, om gendannelsen skal omfatte hjemmesidefiler, database eller begge dele, samt hvad du oplever.

1. Download egne filer fra siden

WordPress er opbygget således at alt tekst-indhold til sider og indlæg samt de indstillinger for hjemmesiden man har opsat og tilpasset, er placeret i databasen. Databasen kan i de fleste tilfælde beholdes, men vær opmærksom på at angribere i nogle tilfælde kan have oprettet skjulte admin-brugere, indsat ondsindet JavaScript i indlæg/sider, eller tilføjet skadelige omdirigeringer i WordPress-indstillinger. Dette skal tjekkes efter gendannelsen (se trin 9).

Udover tekst-indholdet har man typisk også uploadet mediefiler i form af billeder til ens WordPress-side. Disse skal hentes ned lokalt og senere kigges igennem. Desuden er der to konfigurationsfiler der også skal gemmes lokalt.

For at hente filerne ned skal man:

  1. Via FTP (ftp.netsite.dk) logger man på sit webhotel – Guide til FTP

  2. Download mappen uploads og alle undermapper/filer i /wp-content/

  3. Download filen .htaccess placeret i roden af /web (Slå vis skjulte filer til, for at se filen)

  4. Download filen wp-config.php placeret i roden af /web

  5. Gem filerne et sted lokalt på egen computer.

Resten af filerne på webhotellet er enten en del af en normal WordPress-installation eller plugins og temaer hertil. De kan hentes igen, i rene versioner fra deres respektive steder på nettet.

2. Noter brugte plugins & temaer

Det kan være en fordel at logge ind på WordPress kontrolpanelet på ens domæne, og via undersiden Plugins notere sig hvilke plugins man benytter – De skal nemlig hentes og installeres igen senere.

  • Noter alle benyttede plugins på en liste.

  • Ens aktive tema (theme) bør også noteres – Hvis det er et tema man har betalt for, er det en god ide på forhånd at tjekke om det stadig er tilgængeligt til download hos udviklerne man har købt det hos.

  • Noter det aktive tema – Hvis et betalt tema, tjek med udvikler.

3. Slet inficerede WordPress-filer fra webhotellet

Man kan ikke med sikkerhed sige hvor inficerede filer er placeret i en hacket WordPress-side – Oftest vil de være gemt blandt almindeligt brugte filer i WordPress, da hensigten er at skjule dem. Da det typisk er tusindvis af filer som udgør en WordPress-installation, er det urealistisk at gennemgå alle filer og mapper. I stedet sletter man alt, og erstatter med “arkivet” man ved er “rent”.

  • Via FTP logger man på sit webhotel.

  • Slet alle mapper og filer på ens webhotel.

4. Hent ny version af WordPress fra wordpress.org

Efter man har hentet egne WordPress-filer fra webhotellet via FTP, noteret sig hvilke temaer/plugins man senere har brug for igen, og fjernet alle gamle og muligvis inficerede filer serveren, skal man downloade den nyeste version af WordPress fra den officielle WordPress hjemmeside:

5. Upload ren WordPress til webhotellet

Mappen med de udpakkede WordPress-filer kan nu uploades til ens webhotel. Det skaber en “ren” og tom installation af WordPress. Man skal være opmærksom på at mappen “wp” ikke skal uploades, men kun indholdet UNDER mappen “wp”. Således skal der være en større mængde filer og mappen i roden/den øverste mappe på ens webhotel.

  • Upload filer fra arkivets wp-mappe til roden af ens webhotel mappe (“/web” eller “/”)

6. Gennemgå egne filer

Filerne fra /web/wp-content/uploads man kopieret ned lokalt i trin 1 i guiden skal nu gennemgås. I disse mapper bør kun være filer som man som bruger selv manuelt har uploadet i forbindelse med opsætning af ens WordPress-sider. Det vil typisk være billedfiler eller PDF-filer. Men det kan også være video og lydfiler.

  • Lokalt på ens computer går man alle undermapperne igennem. De er inddelt i årstal og efterfølgende måneder for hvornår filerne er blevet uploaded.

  • Oftest vil alle billeder og andre mediefiler placeret i upload mappen, være OK – Men hvis man oplever filer der ikke kan ses som thumbnails i en Stifinder/Finder/Explorer bør man slette dem.

  • Støder man på andre filer skal man kritisk undersøge hvad det er for nogle filer. Der må aldrig være .php, .js eller .html filer i upload mappen.

  • I roden af upload mappen kan der ud over mapper med årstal også være mapper navngivet efter plugins. Disse bør også kritisk gennemgås. I mange tilfælde vil disse mapper med plugin uploads kunne slettes helt. Alternativt kan man vente med at uploade dem til sidst

  • Filerne .htaccess og wp-config.php bør også blivet gennemgået. Men de kan også være svær at læse uden erfaring. Hvis du er i tvivl, kan du kontakte Netsites Support. Man kan med fordel også gemme et kopi af sin .htaccess fil og erstatte den med standard .htaccess fil som WordPress anbefaler – Se den her: https://developer.wordpress.org/advanced-administration/server/web-server/httpd/

7. Upload egne filer til siden

Når man er sikker på at der ikke gemmer sig ondsindet og inficeret filer i ens upload-mappe kan man gen-uploade det til ens WordPress-installation.

  • Upload filerne tilbage til /web/wp-content/uploads – Overskriv eventuelt filer

  • Upload filen .htaccess til roden af webhotellet – Overskriv eksisterende

  • Upload filen wp-config.php til roden af webhotellet – Overskriv eksisterende

8. Skift adgangskoder og sikkerhedsnøgler

Efter upload af wp-config.php bør WordPress installationen igen have adgang til databasen. Herefter skal man sikre alle adgangskoder og sikkerhedsnøgler.

  • Log på WordPress administrator panelet og gå til undersiden "Brugere".

  • Skift adgangskode på samtlige brugere. Slet brugere der ikke længere er relevante.

  • Skift adgangskode til FTP/webhotel hos Netsite.

  • Skift databaseadgangskode via Netsites kontrolpanel, og opdater wp-config.php med den nye adgangskode.

  • Udskift WordPress-sikkerhedsnøgler (secret keys/salts) i wp-config.php med nye fra WordPress Secret Key Generator – dette logger alle brugere ud og invaliderer eksisterende sessions.

9. Tjek database for skadelig kode

Selvom databasen sjældent er direkte inficeret, kan angribere have foretaget ændringer der skal opdages og fjernes.

  • Gennemgå alle brugere under "Brugere" og slet ukendte admin-brugere.

  • Tjek de seneste indlæg og sider for mistænkelig JavaScript-kode eller iframe-elementer.

  • Under "Indstillinger" → "Generelt", tjek at WordPress- og webstedsadresse er korrekte.

  • Hvis din side var markeret af Google som usikker, kan du anmode om en gennemgang via Google Search Console.

10. Installer plugins og themes

Siden vil uden plugins og rettet tema se helt forkert ud. For at fuldføre gendannelsen skal de geninstalleres:

  • Med udgangspunkt i listen fra tidligere kan man nu på siden "plugins" downloade og aktivere de plugins siden har brug for. Indstillinger for plugins bør allerede være gemt i databasen.

  • Ligeledes kan man nu installere det tema man brugte.

WordPress siden bør nu være tilbage til sin originale tilstand.

Beskyt WordPress fremadrettet

Når din side er oppe igen efter at være blevet renset, skal man naturligvis sikre sig det ikke sker igen - Netsite anbefaler:

  • Benyt stærke adgangskoder til alle WordPress-brugere (og e-mailadresser generelt).

  • Genbrug ikke adgangskoder brugt i WordPress til andre tjenester.

  • Slet WordPress-brugere hvis de ikke længere benyttes.

  • Hold WordPress, temaer og plugins opdateret.

  • Overvej at benytte et dedikeret sikkerheds-plugin.

  • Aktiver tofaktorautentificering (2FA) på alle admin-brugere – flere sikkerheds-plugins tilbyder denne funktion.

  • Tilmeld din side til Google Search Console – så får du besked hvis Google opdager sikkerhedsproblemer på din side.

Netsite Support
Hej, hvad kan jeg hjælpe dig med?