WordPress Maatwerk & Plugin Development
Gehackte hosting: van webshells naar een schone, gehardende omgeving
Een shared-hostingomgeving met meerdere WordPress-sites bleek gecompromitteerd: webshells en SEO-spam die zichzelf terugzette. Volledige sanering, hardening en geverifieerde opschoning — zonder dataverlies.
01 Context & probleem
De omgeving vertoonde de klassieke signalen van een compromittering: onbekende PHP-bestanden, webshells met volledige toegang tot het account en SEO-spam die zoekmachines een heel andere site voorschotelde dan bezoekers. Het venijnigste onderdeel: een cloaker-familie die zichzelf herstelde zodra losse bestanden werden verwijderd. Handmatig opschonen was dweilen met de kraan open.
02 Aanpak
Eerst systematiek, dan actie. Een maatwerk sweep-script bracht de volledige infectie in kaart — beide malwarefamilies, alle varianten, alle locaties — voordat er iets werd verwijderd. Daarna volgde de sanering in één gecoördineerde actie: besmette bestanden verwijderd, de zelfherstellende componenten als samenhangend geheel ontmanteld, en de toegangswegen gedicht.
De afsluitende fase was hardening: wachtwoorden en sleutels vernieuwd, verouderde componenten bijgewerkt, rechten aangescherpt en herhaalde verificatiesweeps ingepland om zeker te weten dat niets terugkeerde.
03 Resultaat
Een aantoonbaar schone omgeving, bevestigd door herhaalde sweeps over meerdere dagen — zonder verlies van sites of data. Het incident is bovendien omgezet in een herbruikbaar draaiboek, zodat detectie en respons bij een volgend signaal in uren in plaats van dagen gebeurt.
04 Geleerde lessen
Malware die zichzelf terugzet vind je alleen met systematiek — wie bestanden verwijdert voordat het volledige beeld er is, waarschuwt de aanvaller in feite. En: opschonen zonder hardening is uitstel. De besmetting is het symptoom; de open toegangsweg is het probleem.