Hur fixar jag min hackade WordPress hemsida?

Har din WordPress hemsida blivit hackad? Det är jobbigt. I denna guide får du hjälp med de steg som behöver göras för att du skall rensa sidan och komma tillbaka.

Den korta versionen är att du först måste identifiera mer specifikt vad som har hänt, för att sedan lokalisera intrånget. Därefter måste du ta bort skadlig kod och återställa själva webbplatsen. Därefter är det viktigt att byta alla lösenord, både på administratörsanvändare och databas samt FTP. Som kronan på verket är det alltid rekommenderat att se till att säkra upp webbplatsen med ett av de stora säkerhetstilläggen, som minskar risken för framtida intrång.

Gick det lite snabbt? Fortsätt läsa så tar vi det steg för steg. Vill du att vi hjälper dig? Det gör vi så gärna så!

Identifiera vad som hänt

Det finns många olika typ av hack och intrång. Många av stegen är samma oavsett vad du blivit utsatt för men det kan skilja sig lite i exakt hur det är utförd. Exempelvis kanske det är så att det visas en annan information i sökresultaten på Google, eller att man från Google kommer till en annan webbplats istället för din. Kanske visas det en statisk sida som berättar att webbplatsen blivit hackad eller så finns inga synliga tecken, trots att du blivit informerad av webbhotellet att det finns skadlig kod.

Dessa är bara några exempel på hur de vanligaste intrången ser ut, utåt. Gemensamt för alla ovanstående är att det är någon typ av skadlig kod som injicerats på webbplatsen genom ett säkerhetshål.

Hitta den skadliga koden

Det fina är att det ofta är relativt lätt att hitta skadlig kod, men var den är beror lite på vad det är för typ av intrång du blivit utsatt för.

I fallet med att du kommer till en annan site när du trycker på resultatet från exempelvis Google, betyder det allt som oftast att hackarna har stoppat in en bit kod i din .htaccess-fil som dirigerar om trafik som kommer från Google m.fl till en annan URL.

Det absolut vanligaste är att det i ett antal filer har stoppats in en kodad kodsträng. Nästan alltid betyder det att det på första raden i PHP-filer finns en sträng som börjar med base64( och fortsätter med en till synes slumpmässig följd tecken. Dessa tecken är egentligen kod som är kodat med Base64, oläsligt för en människa men när webbplatsen kör koden händer någonting.

Inte helt ovanligt är att hackarna laddar upp filer som inte skall vara där. Har man inte full koll på exakt vilka filer som skall ingå i WordPress och tillägg kan det vara svårt att skilja falska från riktiga ibland, speciellt i tillägg där det är extra svårt att veta vilka som hör hemma. För att vara på den säkra sidan här är det alltid att rekommendera att fullständigt byta ut core-filerna och tilläggets till nya fräscha filer (läs mer nedan).

Om det är så att din webbplats inte alls visas, utan en statisk sida med innehåll i stil med ”Du har blivit hackad” visas är det oftast så enkelt att hackarna laddat upp en index.html-fil i din rotmapp. De flesta webbservrar laddar olika indexfiler i prioriteringsordningen:

  1. index.html
  2. index.htm
  3. index.php

Eftersom WordPress använder sig av index.php för att visa din sida betyder det att man bara kan lägga in en index.html i rotmappen för att automatiskt visa den istället.

Glöm inte att kontrollera uploads/-mappen i wp-content efter andra typer av filer än bilder. I denna mapp skall det inte finnas några .php-filer och dessa är antagligen skadlig kod.

Ladda upp nya filer av WordPress core, tillägg och tema

Det överlägset enklaste sättet att säkra upp sig efter man har blivit hackad är att ladda upp nya fräscha filer av hela WordPress-core och alla tillägg. Genom att ta bort alla filer utom uppladdningsmapparna och wp-config.php och ersätta med nya filer vet du att det inte är någon skadlig kod som kan glömmas kvar.

När du tar bort, och sedan laddar upp nya ser du också till att inga extra filer lämnas kvar, vilket du kan göra om du bara skriver över direkt. Det är viktigt att få bort all skadlig kod, annars har hackarna möjligtvis en väg in igen.

Eftersom de flesta intrång på WordPress-sidor beror på ett säkerhetshål i core, tillägg eller tema betyder det oftast att man håller sig säker genom att hålla alla dessa komponenter uppdaterade. Oftast inträffar intrång på grund av att sidan inte är löpande uppdaterad, vilket är synd. Vill du ha hjälp och slippa oroa dig över detta, kika på våra underhållsavtal.

Ändra lösenord och salts

Man vet inte alltid precis hur mycket en hackare har kommit åt med sitt intrång. Därför är det alltid bra att ta det säkra före det osäkra och ändra alla lösenord. Detta gäller framförallt alla administratörsanvändare samt databasen och FTP-kontot. I de fall hackaren har kommit åt dessa uppgifter stänger du direkt ute denne genom dessa åtgärder.

I filen wp-config.php finns en sektion med ”salts”. Dessa är en sorts nycklar. Genom att byta ut dessa mot nya loggas automatiskt alla användare ut. Om det är så att hackaren har kommit åt och loggat in sig på din webbplats kommer du med denna åtgärd alltså tvinga ut användaren. Genom att också ha ändrat lösenorden betyder det att hackaren är utestängd.

Säkerhetstillägg och justeringar

Det finns en rad åtgärder som är bra att göra för att förhindra intrång. Genom att installera ett av de mest populära säkerhetstilläggen som iThemes Security, Wordfence eller Sucuri kan du se till att reducera risken för intrång. Tillsammans med ditt webbhotell kan du också se till att filer har korrekta rättigheter och vidare blockera de vanligaste intrången.

Genom att ta till dessa säkerhetsåtgärder samt hålla core, tillägg och teman kontinuerligt uppdaterade kan du rejält minska risken att bli hackad.