Inleiding
Je website is gehackt – wat nu? Gelukkig sta je niet alleen, want veel MKB'ers en freelancers met een WordPress-site maken dit ooit mee. Hackers kiezen zelden bewust jóú als doelwit; in plaats daarvan scannen ze massaal op kwetsbare websites. Met andere woorden: als je site een zwakke plek heeft, kan hij slachtoffer worden van een geautomatiseerde aanval. In deze blogpost lopen we stap voor stap door een typisch WordPress-hackscenario. We bespreken vier fasen – van de inbraak tot en met de blacklist – en we leggen technische begrippen onderweg begrijpelijk uit. Geen paniek of bangmakerij, wel realistische info over wat er kan gebeuren én hoe je het kunt voorkomen.
Stap 1: Exploit – inbraak via een kwetsbaarheid
Elke hack begint met een zwakke plek. Een kwetsbaarheid (beveiligingslek) in een plugin, theme of WordPress zelf wordt ontdekt en misbruikt – dit misbruik noemen we een exploit. Vergelijk het met een inbreker die een open raam vindt in je huis. Uit onderzoek blijkt dat bij ruim 60% van gehackte sites een plugin- of themalek de boosdoener was. Veel ondernemers gebruiken bijvoorbeeld verouderde plugins met bekende lekken. Denk aan een file upload-kwetsbaarheid (waarbij een aanvaller ongecontroleerd een bestand kan uploaden) of een SQL-injectie (waarbij kwaadaardige database-opdrachten via een formulier worden uitgevoerd). Via zo'n lek kan een hacker je site ongemerkt binnendringen en bijvoorbeeld een script of account aanmaken met beheerdersrechten. Zo’n eerste inbraak gebeurt vaak volautomatisch: bots speuren het internet af naar bekende lekken en vallen elke kwetsbare site aan die ze vinden.
Praktijkvoorbeeld: In 2020 werd een lek in de populaire File Manager-plugin actief misbruikt. Beveiligingsbedrijf Wordfence telde in een paar dagen ruim 1,7 miljoen aanvallen via dit ene plugin-lek. Je kunt je voorstellen wat er gebeurt als jouw site net die kwetsbare plugin heeft – de deur staat wagenwijd open voor de hacker. Eenmaal binnen kan de aanvaller code uitvoeren op je WordPress-site (dit heet Remote Code Execution, RCE). In het geval van een SQL-injectie kan hij zelfs de database uitlezen of aanpassen; zo kunnen klantgegevens of wachtwoorden worden gestolen. Kortom, stap 1 is de inbraak: de hacker verschaft zich toegang tot je site via een zwakke plek die voorkomen had kunnen worden (bijvoorbeeld door op tijd updaten).
Stap 2: Persistentie – de hacker blijft aanwezig
Nu de indringer binnen is, wil hij blijven. In deze fase zet de aanvaller middelen in om een blijvende aanwezigheid te verzekeren, zelfs als je de oorspronkelijke lek zou dichten. Eén veelgebruikt trucje is het installeren van een backdoor – letterlijk een “achterdeurtje” in je website. Dit is verborgen kwaadaardige code (bijvoorbeeld een nep-plugin of een extra PHP-bestand) die de hacker op elk moment toegang teruggeeft. Vergelijk het met een inbreker die stiekem een sleutel onder je deurmat verstopt; zelfs na een eerste inbraak kan hij zo later makkelijk weer naar binnen. Vaak maakt de hacker ook een verborgen administrator-account aan in WordPress. Mocht jij die gebruiker ontdekken en verwijderen, dan zorgt de backdoor ervoor dat het account zichzelf opnieuw aanmaakt. Met andere woorden, elke keer dat je de “indringer” buiten zet, laat zijn achterdeur hem weer binnen.
Een hacker installeert een verborgen backdoor in WordPress om zichzelf toegang te blijven geven. Via zo’n achterdeurtje kan hij bijvoorbeeld telkens een administrator-account terugplaatsen, zelfs nadat je het hebt verwijderd.
In de praktijk zien we allerlei slimme persistentietechnieken. Zo worden backdoors vaak vermomd als legitieme bestanden of plugins. Een voorbeeld is de fake plugin DebugMaster, die zich voordeed als debug-tool maar ondertussen verborgen admin-users creëerde en data doorspeelde. Ook injecteren hackers code in cruciale bestanden zoals wp-config.php of in de database, zodat hun kwaadaardige instructies bij elke pageload worden uitgevoerd. Het resultaat: de hacker nestelt zich diep in je site, en simpele opschoning (zoals het verwijderen van één verdacht bestand) is meestal niet voldoende. Je site blijft geïnfecteerd terugkomen tenzij alle achterdeurtjes worden opgespoord en verwijderd.
Stap 3: Spam en malware – misbruik van je site
Zodra de aanvaller voet aan de grond heeft, begint hij je WordPress-site te misbruiken voor eigen gewin. Vaak wordt er malware geplaatst: schadelijke code die bijvoorbeeld spam verstuurt of jouw webpagina’s aanpast. Een bekend fenomeen is SEO spam – de site wordt gevuld met verborgen teksten of links om de Google-score van frauduleuze sites op te krikken. Bijvoorbeeld de beruchte WordPress pharma hack, waarbij je website ongemerkt reclame maakt voor nep-medicijnen als Viagra en Cialis. Je ziet dat zelf niet direct, maar Google ziet ineens allerlei spammy trefwoorden op jouw domein. Dit wordt ook wel Black Hat SEO genoemd.
Een ander teken is dat bezoekers van je site vreemde dingen ervaren. Hackers plaatsen geregeld scripts die alleen bij normale bezoekers actief zijn (niet als jij als admin bent ingelogd, zodat jij niets merkt). Zo’n script kan alle bezoekers doorsluizen (redirecten) naar een andere, gevaarlijke website, of pop-ups tonen met malware-downloads. In een case study bleek malware externe JavaScript in websites te injecteren dat voor alle bezoekers geladen werd – uitgezonderd admins of bekende IP-adressen – om zo bijvoorbeeld virussen te verspreiden. Ook kunnen er backdoors tussen de gewone bestanden verborgen blijven liggen, waarmee de hacker later opnieuw toegang krijgt (zie stap 2).
De gevolgen hiervan zijn ernstig. Je harde werk en reputatie staan op het spel. Stel, jouw site verstuurt ineens honderden spam-mails of staat vol met onzichtbare Viagra-links – dat schaadt je reputatie en kan klanten afschrikken. Zoekmachines kunnen je straffen met een lagere ranking of zelfs een waarschuwing “Deze site is mogelijk gehackt” tonen. Bovendien kan je website ingezet worden als onderdeel van een groter botnet om andere aanvallen uit te voeren. Je domein en server kunnen op spamlijsten belanden, waardoor bijvoorbeeld e-mails van jouw site niet meer aankomen bij klanten. (Als een hacker je server gebruikt als mailrelay voor spam, zal je IP-adres al snel geblacklist worden.) Kortom, in deze fase verandert je website van een normaal visitekaartje in een potentiële bron van malware en spam op het internet – vaak zonder dat je het direct doorhebt.
Stap 4: Blacklist – site wordt geblokkeerd of gemarkeerd
Uiteindelijk blijven de kwaadwillige activiteiten van de hack niet onopgemerkt. Grote partijen zoals Google, browsers en mailproviders willen hun gebruikers beschermen en zullen een gehackte website op de blacklist plaatsen. Google Safe Browsing detecteert dagelijks duizenden onveilige sites (met malware of phishing) en markeert deze met duidelijke waarschuwingen. Misschien heb je het zelf wel eens gezien: een felrode pagina met de melding "Deceptive site ahead" of "Deze site kan schade toebrengen aan jouw computer". Zo’n Google blacklist-waarschuwing betekent dat Google jouw site onveilig vindt vanwege malware of spam. Bezoekers die via Google komen, krijgen die grote rode waarschuwing te zien en haken waarschijnlijk meteen af. Daarnaast voorziet Google je site van een “Deze site is mogelijk gehackt”-label in de zoekresultaten, en in ernstige gevallen haalt Google je volledig uit de index (je pagina’s verdwijnen uit de zoekresultaten). Ook antivirus-software en bepaalde browsers blokkeren de toegang tot je domein zodra het op de blacklist staat.
Naast Google reageren e-maildiensten en hostingproviders ook. Als jouw site door een hack bekendstaat als spamverspreider of phishing-site, komen je e-mails niet meer door de spamfilters heen. Bijvoorbeeld Gmail en Outlook zullen mails van je domein weigeren of in de spammap plaatsen. Op de achtergrond is je IP-adres of domeinnaam dan toegevoegd aan internationale spamlijsten. Zo’n site op blacklist wil zeggen dat jij eerst moet bewijzen dat je opgeschoond en veilig bent voordat die blokkades weer worden opheven. Het kost tijd en expertise om van een blacklist af te komen. In de tussentijd verlies je bijna al je bezoekers en inkomende berichten – een desastreuze situatie voor elke ondernemer.
Tot slot: hoe kun je je wapenen?
Dit scenario klinkt misschien als een nachtmerrie, maar er is gelukkig veel dat je kunt doen om het te voorkomen. Up-to-date houden van je WordPress-core, plugins en thema’s is stap één – de meeste hacks gebeuren via lekken die al lang gepatcht waren, maar nooit bijgewerkt op het gehackte systeem. Verder zijn een goede beveiligingsplugin en back-ups onmisbaar om snel in te grijpen als er iets misgaat. Heb je zelf geen tijd of kennis om dit allemaal bij te houden? Geen nood. Er bestaan diensten voor Managed WordPress hosting (zoals die van Jorijn Schrijvershof) waarbij het technische beheer, de beveiliging én herstel bij hackproblemen voor je worden geregeld. Zo’n dienst houdt je site proactief veilig en up-to-date, en staat paraat om in te grijpen mocht er toch iets gebeuren – zodat jij met een gerust hart kunt ondernemen, zonder sleepless nights over malware op je site. Veiligheid voorop, rust in je hoofd!