Veiligheid, je wilt er eigenlijk niet over nadenken, maar het moet wel kloppen! Daarom krijg je bij ons standaard onder andere een WAF firewall en een 2 factor login.

Het is mogelijk om de 2 factor login uit te zetten, we hebben hieronder een stukje serverlog (wees gerust, we leggen uit wat het betekent) zodat je kunt zien waarom je een 2 factor login wilt hebben. Dit serverlog is een echte hackpoging uit 2016, we hebben het domein anoniem gezet als domein.nl

Voor de leesbaarheid hebben we het spambot IP adres weggehaald en ook de lange useragent (de browser, "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.75 Safari/537.36 OPR/36.0.2130.32") omdat die op elke regel hetzelfde is.

Het server access log van een WordPress site hack

1) [30/Jun/2016:09:01:11 +0200] 
"POST /wp-login.php HTTP/1.0" 302 - "www.domein.nl/wp-login.php"
2) [30/Jun/2016:09:01:11 +0200] 
"GET /wp-admin/ HTTP/1.0" 200 140605 "www.domein.nl/wp-login.php"
3) [30/Jun/2016:09:01:13 +0200] 
"GET /wp-admin/theme-editor.php HTTP/1.0" 403 3330 "-"
4) [30/Jun/2016:09:01:14 +0200] 
"GET /wp-admin/theme-editor.php?file=404.php&theme=twentythirteen HTTP/1.0" 403 3330 "-"
5) [30/Jun/2016:09:01:14 +0200] 
"POST /xmlrpc.php HTTP/1.0" 503 - "-" "-"
6) [30/Jun/2016:09:01:14 +0200] 
"GET /wp-admin/theme-install.php?upload HTTP/1.0" 200 122180 "-"
7) [30/Jun/2016:09:01:16 +0200] 
"POST /wp-admin/update.php?action=upload-theme HTTP/1.0" 200 106431 
"www.domein.nl/wp-admin/theme-install.php?upload"
8) [30/Jun/2016:09:01:21 +0200] 
"GET /wp-content/themes/wiles/db.php HTTP/1.0" 200 120 "-"
9) [30/Jun/2016:09:01:21 +0200] 
"POST /wp-content/themes/wiles/db.php HTTP/1.0" 200 28075 
"www.domein.nl/wp-admin/theme-install.php?upload"
10) [30/Jun/2016:09:40:59 +0200] 
"GET /robots.txt HTTP/1.0" 200 2978 "-"
11) [30/Jun/2016:09:41:00 +0200] 
"GET /wp-content/plugins/formcraft/file-upload/server/php/upload.php HTTP/1.0" 503 - "-"
12) [30/Jun/2016:09:42:00 +0200] 
"GET /wp-content/plugins/wp-symposium/server/php/mVHkvNjQTptiaw.php HTTP/1.0" 503 - "-"

Wat voor hack is er gebeurd op deze site?

Je ziet dat er succesvol wordt ingelogd (1,2), daarna wil de hacker meteen de thema editor openen (3, 4). Die staat bij ons standaard uit waardoor je een 403 (forbidden) melding ziet.

Daarna gaat de hacker naar de weergave instellingen (6) en uploadt een geinfecteerd thema (7) genaamd "wiles". Ondertussen komt er er overigens nog een andere spambot/hacker langs die iets probeert middels xmlrpc (5), dat staat bij ons ook standaard uit en geeft direct een 503 melding terug.

Nu het geinfecteerde thema is geuploaded (en let op: het thema is puur aanwezig, het staat NIET aan zodat de site er nog gewoon hetzelfde uitziet) zie je een succesvolle data aanroep naar wiles/db.php (8,9). Hierna verwacht de hacker dat er twee plugins zijn met daarin malware (11,12). De aanroepen werken niet omdat onze software ze opmerkt als foute php aanroepen in plugin mappen en ook hier weer een 503 melding terug krijgt.

Hoe kon deze hack gebeuren?

Wat we zien is dat er een zeer zwak wachtwoord was gebruikt voor het WordPress sitebeheer (met dus volledige rechten). Deze klant had reeds eerder de 2FA uitgezet. Hierdoor kon de hacker vrij makkelijk inloggen en hoefde deze niet naar de emailbox van de klant te gaan om het tijdelijke willekeurige-tekenreeks-inlogtoken op te halen om als tweede stap in te voeren bij het login proces.

Hoe voorkom ik een hack als deze?

Uit het access log kun je zien dat wij een hele reeks pogingen herkennen en automatisch blokkeren met een 403 of 503 error melding. Bij deze hack zijn er geen succesvolle aanroepen geweest en wij hebben de klant geholpen met het opschonen van de site.

Voorkom ook dat een hacker toegang krijgt tot je wp-admin beheeromgeving:

Kies ook voor veilige WordPress hosting

We verwelkomen je site graag! Is je site op dit moment gehacked? Geen probleem, neem direct contact op en we zetten 'm schoon over.


Geef je reactie

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

Geef je reactie

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

Ervaringen van anderen

Lees ook