En trist realitet ved å ha en flott nettside som skal gjøre deg eller din bedrift synlig på nett, er at den kan bli hacket! Det kan være en stressende situasjon å befinne seg i, og i tillegg kan det i verste fall gjøre stor skade for deg eller din bedrift.
Hvis nettsiden er din hovedkilde til inntekt er det stor sannsynlighet at nettopp du blir/er et mål for hackere. Derfor kan det være lurt å velge en nettside-leverandør som kan tilby deg både drift og vedlikehold, slik at du kan sove trygt om natten selv om uhellet skulle skje. En god leverandør vil få alle sikkerhetsoppdateringer installert til rett tid, ta sikkerhetskopi av hele nettsiden (database og filer) i tillegg til god support-hjelp om det er ønskelig.
Selv om du har grunnleggende sikkerhet implementert på nettsiden, kan folk med onde intensjoner fortsatt finne sikkerhetshull og bryte seg gjennom …
What to do?
La oss si at du befinner deg i en situasjon hvor nettopp en eller flere hackere har klart å snike seg gjennom ditt forsvar usett og gjort ugagn. Hva nå?
1. Hold hodet kaldt
Hvordan renser man en hacket nettside? Det første steget er å forholde seg rolig og prøve å kartlegge situasjonen du er i. Ved å være stresset eller sint kommer du ingen vei, da du mest sannsynlig vil miste konsentrasjonen og fokus på hva som skal gjøres videre.
Finn tak i noen profesjonelle som kan gjøre denne jobben for deg, da de som regel har vært borti slike hendelser tidligere. Du vil uansett få noen tips her om du ønsker å gjøre jobben selv. Bare å lese videre 😁
2. Finn ut hva som har skjedd. Hva er “hacket”?
Sørg for at du er rolig, og sett deg ned med Word (el.) eller gjerne penn og papir. Nå må du skrive ned alt du oppdager slik at du har en liste å forholde deg til i ryddejobben.
- Kommer du deg inn i kontrollpanelet (ditt-domene.no/wp-admin)?
- Har du tilgang til FTP eller SQL?
- Blir du videresendt til en annen nettside?
- Inneholder nettsiden noen “skumle” lenker?
- Har Google markert din side som utrygg? “Dette nettstedet kan være hacket”
Skriv ned alt du observerer slik at du er klar til neste steg. Det kan også være lurt å bytte alle passord i denne omgang, både på nettsiden for alle brukere, samt FTP og SQL om du har tilgang til dette. NB! Du må nok belage deg på å endre passord på nytt når hacken er rensket bort fra nettsiden (for sikkerhets skyld).
3. Kontakt din leverandør av webhotell
De fleste leverandører av webhotell kan være veldig behjelpelige i situasjoner hvor nettsider har blitt hacket. En god del erfarne supportarbeidere har møtt på slike problemer før, og kan mest sannsynlig gi deg god informasjon om hva som har skjedd.
Det kan være at din leverandør har informasjon om hvordan hacken startet og fra hvor. I tillegg er det også en god sjanse for at de vet hva som eventuelt er “bakdøren” inn til din nettside og hvor hackeren kom fra.
Hvis du er litt usikker på hvem du har som leverandør kan du få litt starthjelp ved å søke opp ditt domene hos tjenesten IntoDNS. Der står en del oppføringer knyttet opp til ditt domene. Tilbydere som PRO ISP eller Domeneshop har sitt navn i registrerte navnetjenere. F.eks. ns1.proisp.no, ns2.proisp.no osv.
4. Finn tak i den siste sikkerhetskopien av nettsiden (database og filer)
Hvis du har en god vane ved å ta sikkerhetskopier daglig av din nettside, kan det nå være lurt å tilbakestille til en eldre kopi som ikke er hacket. Du vil sikkert miste en del innlegg eller annet innhold hvis du oppdaterer nettsiden jevnlig. Det vil da si at alt du har gjort etter at hacken fant sted, vil bli borte. Men, det vil nok helt sikkert være verdt å få nettsiden opp å gå igjen i dette tilfellet.
Merknad: Når du nå har rullet tilbake til en ren versjon av nettsiden er den fortsatt sårbar for nye angrep. Det er på tide å gjøre det verre for hackeren å komme seg inn igjen. Du har jo allerede i punkt 2 byttet alle passord, så du er på god vei.
Hvis du ikke ønsker å rulle tilbake til en eldre versjon av nettsiden, kan du fortsatt gjøre en manuell opprydding. Det vil ta tid, men mestringsfølelsen av å ha rensket nettsiden selv og hackeren er stengt ute for godt er enorm! Du vil også sitte igjen med en sikkerhet om at nå er ekstra sikkerhetstiltak utført, og gammel utdatert kode er borte.
5. Skanning og fjerning av skadelig programvare (kode)
Let etter eldre plugins eller temaer (som ikke har vært oppdatert på over 1 år) og slett dem som ikke er nødvendig. Er de nødvendig, se om du finner en lignende plugin som gjør akkurat det samme, men som er oppdatert og testet med nyeste versjon av WordPress. Som regel kommer en hacker seg inn via utdaterte filer på server, og kan dermed lage en bakdør – https://en.wikipedia.org/wiki/Backdoor_(computing) – for å komme tilbake senere hvis/når den utdaterte filen er slettet.
Du kan nå laste ned WordFence Security og installere denne på nettsiden. Når det er gjort, utfør en skanning av hele nettsiden for å se om hacken dukker opp i sluttresultatet.
De vanligste filene og mappene som infiseres er følgende: themes, plugins, wp-config.php, .htaccess, index.php og wp-includes. Andre filer og mapper kan selvfølgelig også infiseres. Hvis WordFence har gitt deg resultater med mulig infiserte filer, ta en gjennomgang av filene for å se om de er lik originalfila (last ned ren WordPress og de plugins som evt. dukker opp i resultatet for å sammenligne med). Bytt ut med originalfila eller fjern skadelig kode. Se også om det har dukket opp nye filer i tillegg til originalfilene. Fjern dem også i samme slengen. Gjenta skanning helt til du får beskjed om at nettsiden er ren.
6. Sjekk filtillatelser på server og brukere på nettside
Hvis du finner ukjente brukere, slett dem. Sjekk også rollen til andre brukere for å se om de har tilganger som ikke er innvilget. Deretter sjekker du filtillatelser på server, via sFTP. Vi kan anbefale FileZilla. En anbefaling er at mapper er satt til 755 og filer til 644. Lese mer om filtillatelser på en WordPress-installasjon.
7. Endre WordPress Salts i wp-config.php
Åpne wp-config.php via sFTP og let i koden frem til du finner “Authentication Unique Keys and Salts”. Naviger til https://api.wordpress.org/secret-key/1.1/salt/ i nettleseren for å generere nye nøkler som du deretter erstatter de gamle med.
De kan se slik ut:
define('AUTH_KEY', 'yK@l+[tA`H,h|^!!13-fdxqA7,P{fvTItE$<iet1rs&6@#aIt`0l8Mxq-|9rbK8q');
define('SECURE_AUTH_KEY', 'v-!emQi)-R8BUhIkKj6m.@A;$U/}izUI>s9-(YN nq,7> A9.EL8lE(B,93Y;Cx>');
define('LOGGED_IN_KEY', 'JXgo,~?jG7})T1gfZ$=:V;uTiz=s~:5RGtnxL-q+|:W!@}1D+0u--lPj@epL6rO|');
define('NONCE_KEY', '>}$Qt_/aK5,o$JE!|nE|,-pp[fyxqMyzzFrY*]1 _%.&pOB)A+DAdcgZs^EFF(B');
define('AUTH_SALT', 'TKp]%1n>l-8])ox:t7+/~/!Q*-{$D-=orj}{ArC{d@bpP<O>y6s+nylRcJTUB-|J');
define('SECURE_AUTH_SALT', 'Am;ah9bf8_~HQjt_!i~HINd}]/s&0>M)hSXe1z.fNugx;n6_P=+<V|#J_OIQFCqX');
define('LOGGED_IN_SALT', 'wC-KQu|GWL0oeD-]L+Ag:o}rj)skF= k`$98X |x@gbvS& WbI4N=E]~C_9v}|4|');
define('NONCE_SALT', '%JG?ykhD)6f#R4Cyx3L5+{[uZSj:{$P*`t;T=/SFD 9Pz88JUD>-t1c.caY(6a|S');
8. Endre passord (overalt)
Vær sikker på at du bytter passord for alt relatert din WordPress side. Det inkluderer passord for å få tilgang til kontrollpanelet til WordPress, cPanel, FTP, SQL database og alle andre som kan gi tilgang til nettsiden. Hvis du har en passordgenerator, vær sikker på at du velger et strengt og unikt passord som ingen kan gjette seg frem til. Vi har skrevet en god artikkel tidligere for hvordan lage et godt passord.
Veien videre
Etter å ha fullført alle steg nevnt over, er nettsiden din endelig ren og nogenlunde sikker. Du har enda en jobb igjen, og det er å sikre nettsiden din slik at dette ikke skjer på nytt.
Noe du kan gjøre videre er følgende:
- Sette opp en brannmur (via WordFence Security) og et overvåkningssystem som varsler deg hvis noe skjer.
- Endre leverandør av webhotell til noe sikrere
- Deaktiver redigering av kildekode direkte fra kontrollpanelet (kan gjøres i wp-config.php)
define('DISALLOW_FILE_EDIT', true);
- Begrense innloggingsforsøk
- Passordbeskytt administratorområdet til WordPress
- Deaktiver utførelse av PHP på ulike mapper via .htaccess