Tag Archives: java scripts

WordPress website geïnfecteerd met malware

Ook een mail van Google gehad dat jouw website malware bevat? Blacklisted by Google kost je bezoekers. Vooral als je wordt geadviseerd om jouw website even tijdelijk te sluiten.

Er is veel Engelstalige informatie over het verwijderen van malware alleen helaas niet de info die je kunt gebruiken. Het gaat vaak om informatie die aangeeft wat je moet doen om niet geïnfecteerd te raken of het verwijderen van oude malware. Dat geldt trouwens ook voor de informatie bij Google webmasterhulpmiddelen.  http://www.stopbadware.org/home/security

Wat kun je doen om van de malware af te komen?
Ga naar sucuri.net en laat daar gratis jouw website scannen.

Het is belangrijk om te weten welke files/pagina’s besmet zijn. Je kunt dan eventueel besluiten om de pagina’s tijdelijk buiten werking te stellen.
Er wordt bij de besmette pagina’s de verborgen codes weergegeven.

Open de besmette pagina met een browser en als je werkt met IE8 klik dan “page” in de balk aan en ga vervolgens naar view source. Je ziet dan de sitepagina in html. De geïnfecteerde pagina laat dan onderaan een code zien die overeenkomt met de code die ook op de sucuri scan is te zien. (Gebruik bij Mozilla Firefox de add on Firebug| kopje script.)

Het is nu duidelijk welke pagina’s er besmet zijn. Heb je een schone back-up dan kun je proberen de huidige bestanden te overschrijven en in het geval dat jouw WordPress versie niet up to date is deze eerst handmatig up daten.

Een schone back up
Heb je het geluk dat je in het bezit bent van een schone back up zet deze dan via een ftp-programma (Filezilla) over de bestanden heen. Kijk via ftp welke bestanden niet worden overgeschreven.  Hernoem deze bijvoorbeeld van content.php naar contentvir.php.
Zet alle plugins uit in WordPress.

Check via sucuri.net of er nog meldingen worden gegeven. Zorg er wel voor dat de cache van jouw browser leeg is anders krijg je een valse melding. Krijg je geen meldingen meer dan lijkt het er op dat je de malware hebt verwijderd. Blader vervolgens met de browser door je site heen en kijk of alles nog functioneert. Hiermee controleer je of met de hernoemde files geen vitale onderdelen hebt uitgeschakeld.

Mijn WordPress versie is niet up to date.
Zet eerst alle plugins uit in WordPress. En maak opnieuw met sucuri.net een scan. (Als je zaken controleert na een wijziging zorg dat de cache van je browser leeg is want anders krijg je weer dezelfde informatie aangeboden. )

Geeft Sucuri aan dat de malware er nog zit dan zitten de besmette bestanden waarschijnlijk niet in de plugins maar ergens anders.

Maak dan via een ftp programma een kopie van de httpdocs directory waarin al jouw WordPress files staan. Zet deze gekopieerde directory op een aparte plaats van jouw harde schijf of usb stick. Laat een programma zoals Malwarebytes en/of Spybot de files scannen op verdachte java scripts. (Bij mij werd er helaas niets gevonden. Hierdoor bleef het onduidelijk welke file er was besmet.)

In mijn geval heb ik vervolgens handmatig een upgrade van 3.01 naar 3.21 gemaakt.
Lees hier eerst de heldere uitleg van Wessel Zweers http://www.laterna.nl/documentatie/wordpress/handleiding-wordpress-upgrade
Hierbij heb ik de WP-content niet overschreven omdat hier mijn themes template instond. De file .htaccess  heb ik ook laten staan.

Maak opnieuw een scan. Als er dan nog malware aanwezig is dan moet dat in de themes zitten.  Schakel je eigen theme tijdelijk uit en vervang deze bijvoorbeeld door de laatste WPtheme versie te installeren.

De sucuri scan gaf, na een lege cache, in mijn geval aan dat er geen malware meer aanwezig was. Er zal nog steeds de melding staan dat de website nog op de blacklist staat. Wacht nog even met het verzenden voor een nieuwe Google review.

Heb je jouw theme zelf gemaakt zet dan een nieuwe theme terug in de website directory en in het ander geval download een nieuwe WordPress theme.

Gebruik bijvoorbeeld de WP security plugin om te kijken welke schrijfrechten er eventueel gewijzigd moeten worden. Het wijzigen van de schrijfrechten kan via ftp of via jouw provider.

Maak uit voorzorg een dag later weer een scan.  Als de scan dan nog steeds aangeeft dat er geen malware aanwezig is, stuur dan een bericht met het verzoek om de website opnieuw te reviewen. http://www.google.com/support/webmasters . Binnen een dag is de blacklist melding weg.

Met deze informatie wil ik graag bijdragen aan de ontwikkeling van het prachtige WordPress product maar vooral dat je door deze informatie jouw malware ook kwijt bent.

Mocht er iets niet duidelijk zijn in de beschrijving laat dan even een berichtje achter.

Succes, Andrew

P.s. Tijdens het zoeken naar verborgen scripts heb ik ook gebruik gemaakt van de freeware Crimson editor.