En dan gebeurt het... Iets waar ik eigenlijk al een aantal jaar op aan het "wachten" was. Deze weblog is afgelopen dinsdag gehackt. Kwaadwillende hebben een code in mijn .htaccess bestand weten te plaatsen.Deze code zorgde ervoor dat de zoekmachine robots omgeleid werden naar een andere website met een 301 redirect (permanente verhuizing van een pagina). Dus deze robots, die ervoor zorgen dat je pagina's in de indexen van de zoekmachines verschijnen, dachten dat al mijn pagina's verhuist waren.Ik hoef jullie niet uit te leggen dat zoiets rampzalig kan zijn. Gelukkig ben ik er nog redelijk op tijd achter gekomen en is de schade beperkt gebleven. Voor wie wil weten wat er precies is gebeurd en hoe ik erachter ben gekomen, lees vooral verder!
De ontdekking
Afgelopen vrijdag waren er problemen bij het bedrijf waar deze website gehost wordt. Volgens hen hadden ze last van een DDoS-attack. Echter wist ik dit nog niet en dacht dat het aan een instelling op mijn weblog lag. Tijdens mijn zoektocht naar het mogelijke probleem nam ik een kijkje in mijn .htaccess bestand. Daar viel mij het volgende stukje code op:
RewriteCond %{HTTP_USER_AGENT} (Googlebot|Slurp|msnbot)RewriteRule ^ http://doormoney.net/ [R=301,L]# BEGIN WordPress
Mijn codekennis is niet van dermate hoog niveau dat ik 100% zeker wist wat het betekende. Maar ik kon het wel raden. Het leek erop dat er verschillende zoekmachines robotten doorgestuurd worden naar doormoney.net.Om zeker te weten wat er aan de hand was heb ik een mailtje gestuurd naar Joost de Valk (Joost, nogmaals bedankt!) met de vraag wat dit betekende. En mijn vermoeden werd bevestigd door Joost. Hij stuurde mij namelijk de volgende reactie:
Joost: "Da's idd een hack. Usernames/passes veranderen, core WordPress opnieuw neerzetten en al je plugins nalopen, iig... Succes!"
En dan weet je het zeker, je bent gehackt!
De schade opnemen
Om te kijken welke problemen (en hoe lang deze code er al in stond) ben ik eens een kijkje gaan nemen in mijn Google Webmaster Central. En daar werd het allemaal nog duidelijker. Google had op 10 februari ontdekt dat alle url's van mijn website niet meer toegankelijk waren. Dit was ook te zien aan het feit dat mijn sitemap niet meer klopte. Om het simpel te zeggen, ik stuurde url's naar Google maar wanneer ze deze gingen bezoeken bestonden deze helemaal niet meer.
De oplossing
Joost had het in zijn reactie al duidelijk gemaakt. Er moesten een aantal belangrijke stappen ondernomen worden. De volgende stappen heb ik ondernomen:
- De slechte code uit het .htaccess bestand gehaald. Op deze manier weten de zoekmachines dat alles weer "okee" is.
- Het CMOD commando gewijzigd van het .htaccess bestand. Vroeger was deze in principe door iedereen schrijfbaar (777). Binnen Wordpress is dit verplicht wanneer je wilt dat bijvoorbeeld de permalinks automatisch worden beschreven.
- Alle plugins die ik niet meer gebruik verwijderd (er stonden er inmiddels meer dan 40 in).
- De Wordpress-core geüpdate naar de nieuwste versie (van 2.3 naar 2.7). Ik weet wat je nu denkt, waarom is dit niet eerder gebeurd? En eerlijk gezegd dacht ik dat het niet zo'n haast zou hebben.
- Alle plugins opnieuw gedownload en waar nodig geüpgrade.
- Alle wachtwoorden veranderd.
- Een back-up gemaakt van Karelgeenen.nl.
Wat heb ik geleerd, hoe ga ik dit voorkomen
100% voorkomen zal waarschijnlijk nooit lukken. Maar ik heb, en ben bezig met andere, maatregelen genomen om dergelijke hacks te voorkomen. Ik zal binnenkort een apart artikel schrijven met "beveiligingstips voor Wordpress. Voorlopig kun je hier (Engels) terecht.Dan nog even mijn "pijnlijke" leerpunten:
- Update wanneer er een nieuwe stabiele versie uitkomt! Wacht er niet mee maar doe het direct, kan je een hoop stress en problemen voorkomen.
- Controleer regelmatig je .htaccess file.
- Controleer regelmatig je Google Webmaster Central. Er staat meer belangrijke informatie in dan je denkt.
- Maak voldoende back-ups!
- Ook mijn oude vertrouwde Wordpress is te hacken...
Update 15 februari 2009:
De gevolgen van deze hack zijn nu ook te vinden in de resultaten van Google. Wanneer men nu zoekt op Karel Geenen krijgt men de volgende resultaten (let vooral op het derde resultaat)