Case – hjemmeside hacket

Mail poppede op i min indbakke – flere gange. Mobilen ringede og i den anden ende havde jeg en kvinde jeg ikke kendte, men som havde fået mine kontaktoplysninger fra en af mine samarbejdspartnere. Hun var i knibe og derfor kunne hun ikke vente på at jeg nåede til at læse mine mails.

Kort fortalt: Hendes virksomhed skulle køre en række events, hvor de skulle informere gæster og besøgende om aktiviteterne i perioden. Det var en af de vigtigste perioder på året for virksomheden, og nu var hjemmesiden lige pludselig forsvundet!! I stedet for hjemmesiden stod der nu blot nogle linjer med fejlkode på en hvid side.

Jeg bad om administrator-adgang til hjemmesiden og til webhotellet og vi aftalte at jeg ville danne mig et overblik over problemet.

Først fik jeg logget ind og undersøgt, hvilke brugere, der fandtes på siden, og jeg startede med at fjerne alle rettigheder, samt nulstille koderne for alle brugerne.

Derefter gennemgik jeg indlæg og sider, for at se om der var publiceret sider, der kunne indeholde malware. Alle mistænkelige elementer blev nu lagt i papirkurven til senere gennemgang.

Derefter gennemgik jeg temaer og kunne se at der var installeret et ikke kendt tema, der ikke havde en opdateringsmulighed. Jeg skiftede til et standard-wordpress tema.

Det næste var at gennemgå plugins, og her var installeret en del plugins, der enten ikke var opdaterede, eller som ikke var kendte af WordPress. Jeg deaktiverede alle plugins.

Til sidst fik jeg adgang til webhotellet og undersøgte opsætningen. Her blev jeg opmærksom på at der lå flere domæner og databaser på webhotellet. Det „spændende‟ ved databaserne var, at de faktisk lå placeret i samme database. Det betød at der var risiko for at domænerne kunne „smitte‟ og geninficere hinanden.

Analysen var klar: Der manglede en risikostyring af brugere og indhold, samt WordPress-kernen, tema og plugins. Derudover skulle der styring på indhold på webhotellet.

Efter en kort samtale med ejeren af hjemmesiden, fik jeg lov til at gå i gang med oprydning og fjernelse af malware, skadelig kode og generel opdatering af hjemmeside og webhotel.

Jeg installerede Wordfence og satte pluginet i gang med en dybdegående scan – ikke kun af hjemmesiden, men også filer uden for WordPress-installationen og af alle typer af filer.

Mens scanningen kørte skilte jeg databaser ad og gav dem nye, sikre kodeord.

20 minutter senere havde jeg en længere liste af filer, der var inficeret. Efter en grundig gennemgang, hvor jeg først sammenlignede filen med den originale fil og reparerede den – eller slettede filen, hvis den ikke var en del af en kendt installation.

Jeg kørte en scanning igen og der dukkede nogle flere fejl op. Dem rettede jeg, samtidig med at jeg gik til kilderne af nogle fejlene, nemlig de indlæg, sider, temaer og plugins, der var oprettet af hackerne. De blev slettet, og siden fungerede nu igen.

Jeg afsluttede med at gennemgå opsætningen af siden, så den så pæn og præsentabel ud. Jeg satte også større krav til bruger-adgangskoder, så man f.eks. ikke kan bruge adgangskoder, der er kendt fra datalæk – og nu var virksomheden klar til deres højsæson.