WordPress Maatwerk & Plugin Development

Gehackte hosting: van webshells naar een schone, gehardende omgeving

Een shared-hostingomgeving met meerdere WordPress-sites bleek gecompromitteerd: webshells en SEO-spam die zichzelf terugzette. Volledige sanering, hardening en geverifieerde opschoning — zonder dataverlies.

Opdrachtgever
Webhosting-omgeving met meerdere WordPress-sites
Rol
Incident response, sanering & hardening
Periode
Juni 2026
Techniek & tools
DirectAdmin shared hosting, WordPress, maatwerk malware-sweep-scripts
2 malwarefamilies volledig ontmanteld
0 sites of data verloren
1 herbruikbaar respons-draaiboek als resultaat

01 Context & probleem

De omgeving vertoonde de klassieke signalen van een compromittering: onbekende PHP-bestanden, webshells met volledige toegang tot het account en SEO-spam die zoekmachines een heel andere site voorschotelde dan bezoekers. Het venijnigste onderdeel: een cloaker-familie die zichzelf herstelde zodra losse bestanden werden verwijderd. Handmatig opschonen was dweilen met de kraan open.

02 Aanpak

Eerst systematiek, dan actie. Een maatwerk sweep-script bracht de volledige infectie in kaart — beide malwarefamilies, alle varianten, alle locaties — voordat er iets werd verwijderd. Daarna volgde de sanering in één gecoördineerde actie: besmette bestanden verwijderd, de zelfherstellende componenten als samenhangend geheel ontmanteld, en de toegangswegen gedicht.

De afsluitende fase was hardening: wachtwoorden en sleutels vernieuwd, verouderde componenten bijgewerkt, rechten aangescherpt en herhaalde verificatiesweeps ingepland om zeker te weten dat niets terugkeerde.

03 Resultaat

Een aantoonbaar schone omgeving, bevestigd door herhaalde sweeps over meerdere dagen — zonder verlies van sites of data. Het incident is bovendien omgezet in een herbruikbaar draaiboek, zodat detectie en respons bij een volgend signaal in uren in plaats van dagen gebeurt.

04 Geleerde lessen

Malware die zichzelf terugzet vind je alleen met systematiek — wie bestanden verwijdert voordat het volledige beeld er is, waarschuwt de aanvaller in feite. En: opschonen zonder hardening is uitstel. De besmetting is het symptoom; de open toegangsweg is het probleem.

Heb je een IT-vraagstuk dat verder gaat dan een snelle fix?

Vertel kort wat er speelt. Je krijgt binnen één werkdag een onderbouwde reactie.

Plan een kennismaking