Malware verwijderen van WordPress-sites die op VPS worden gehost

Het verwijderen van WordPress-malware is het proces van detectie, schoonmaak, en het voorkomen van kwaadaardige code die de integriteit van uw website in gevaar brengt. Malware kan de prestaties van de site aanzienlijk verstoren, leiden tot datalekken, SEO-ranglijst beschadigen, en bezoekers schade berokkenen.

Voor het efficiënt verwijderen van malware is inzicht in het infectietype vereist, het bijhouden van wijzigingen in bestanden en databases, en het toepassen van zowel handmatige als geautomatiseerde herstelmethoden, die hieronder worden beschouwd.

Waarom het verwijderen van WordPress-malware belangrijk is?

WordPress-websites zijn bijzonder kwetsbaar vanwege hun populariteit en afhankelijkheid van plug-ins en thema’s. Aanvallers maken vaak misbruik van verouderde plug-ins, zwakke geloofsbrieven, of onveilige servers om kwaadaardige scripts te injecteren.

Voor sites die op een VPS worden gehost, Het verwijderen van malware wordt nog belangrijker omdat onbeheerde VPS-omgevingen hackers in staat stellen kwetsbaarheden op serverniveau te misbruiken. Door malwarebedreigingen op de juiste manier aan te pakken, website-eigenaren zorgen voor de stabiliteit van de site, beveiligde gebruikersgegevens, en het vertrouwen van zoekmachines behouden.

Volgens Sappen 2023 Bedreigingsrapport:

“WordPress blijft het meest doelgerichte CMS, verantwoording afleggen 92% van alle geïnfecteerde websites geanalyseerd. De voornaamste oorzaak van deze compromissen komt voort uit kwetsbaarheden binnen het ecosysteem, bijzonder verouderde plug-ins en thema’s”.

WordPress -webhosting

Vanaf $ 3,99/maandelijks

Koop nu

5 Veelvoorkomende malware-infecties die u moet kennen

Het herkennen van de onderstaande infectietypen zorgt ervoor dat de verwijderingsstrategie de hoofdoorzaak aanpakt, niet alleen de zichtbare symptomen.

1. Achterstoren: Verborgen scripts waarmee hackers weer toegang kunnen krijgen, zelfs nadat de site is opgeschoond. Deze bevinden zich vaak in wp-config.php, functies.php, of plug-inbestanden.
2. Farmaceutische hacks: Geïnjecteerde spaminhoud, typisch farmaceutische advertenties, die in de zoekresultaten verschijnen, schadelijke SEO.
3. Schadelijke omleidingen: Bezoekers worden doorgestuurd naar onveilige websites, vaak veroorzaakt door gewijzigde .htaccess-bestanden of JavaScript-injecties.
4. Drive-by-downloads: Malware wordt automatisch gedownload naar de apparaten van bezoekers, veiligheidsrisico's voor gebruikers met zich meebrengen.
5. Schadelijke scripts: JavaScript- of PHP-code die in sitebestanden wordt geïnjecteerd om gegevens te stelen of websitegedrag te manipuleren.

Tekenen dat uw WordPress-site is geïnfecteerd

Door een infectie vroegtijdig te identificeren, kan aanzienlijke schade worden voorkomen. VPS-gebruikers moeten serverlogboeken controleren, bestandswijzigingen, en ongewone activiteiten. De signalen geven vaak aan of er malware actief is in de kernbestanden, plug-ins, of thema's.

• Plotselinge verkeersdalingen: Het op de zwarte lijst plaatsen door Google of hostingproviders kan het organische verkeer verminderen.
• Ongebruikelijke pop-ups of advertenties: Onverwachte inhoud op uw pagina's, vaak gekoppeld aan malware.
• Onbekende gebruikers: Nieuw aangemaakte beheerdersaccounts zonder uw toestemming.
• Gewijzigde of verwijderde bestanden: Bestandswijzigingen die niet door de site-eigenaar zijn uitgevoerd.
• Trage websiteprestaties: Onverklaarbare sitecrashes of zwaar gebruik van bronnen.
• Waarschuwingen voor beveiligingsplug-ins: Plug-ins zoals Wordfence of iThemes Security detecteren verdachte activiteiten.

Monitoringtools zoals ServerAvatar of VPS-controlepanelen kunnen realtime analyses bieden van serverbronnen en bestandsintegriteit om infecties vroegtijdig op te sporen.

Wat u moet doen voordat u malware op WordPress verwijdert

Voordat u begint met het verwijderen van malware, voorbereiding is essentieel om te voorkomen dat de aanval zich verspreidt of onomkeerbare schade veroorzaakt. Het overslaan van deze stappen kan leiden tot aanhoudende infecties of gegevensverlies.

Goedkope VPS -server

Vanaf $ 2,99/maandelijks

Koop nu

1. Beperk WordPress-toegang: Beperk de toegang tot de site via .htaccess om te voorkomen dat bezoekers malware of phishing-omleidingen activeren. Sta alleen uw IP toe tijdens het opschonen.
2. Maak een back-up van WordPress-bestanden: Met volledige back-ups van bestanden en databases kunt u geïnfecteerde en schone gegevens vergelijken, ervoor te zorgen dat er geen kritieke bestanden verloren gaan tijdens het verwijderen.
3. Controleer recente wijzigingen: Bekijk logboeken en recentelijk gewijzigde bestanden om de bron van malware te identificeren. Commando's zoals “vinden . -typ f -ctime -3” kan recentelijk gewijzigde bestanden lokaliseren.
4. Update wachtwoorden en toegangssleutels: Wijzig onmiddellijk alle beheerders, database, en FTP-wachtwoorden om te voorkomen dat hackers toegang behouden.
5. Symlinks verwijderen: Verwijder symbolische koppelingen die kunnen worden misbruikt voor toegang tot bestanden.
6. WordPress bijwerken, Plug-ins, Thema's, en PHP: Zorg ervoor dat het CMS en de extensies zijn gepatcht om kwetsbaarheden te verhelpen.
7. Bestands- en maprechten opnieuw instellen: Stel machtigingen in om gevoelige bestanden en mappen te beveiligen, typisch 644 voor bestanden en 755 voor mappen.
8. Scan uw computer op malware: Voorkom herinfectie door ervoor te zorgen dat uw lokale apparaat schoon is voordat u opnieuw verbinding maakt met de VPS.

Hoe u malware handmatig van uw WordPress-site kunt verwijderen

Voor gebruikers met technische kennis, Het handmatig verwijderen van malware zorgt voor de meest grondige opruiming en geeft u volledige controle over de integriteit van uw site. Terwijl geautomatiseerde tools een snelle oplossing bieden, ze kunnen soms diepgewortelde bedreigingen over het hoofd zien.

Laten we u daarom door de exacte stappen en opdrachten leiden die nodig zijn om schadelijke code te vinden en te vernietigen, maak uw database schoon, en beveilig uw website:

Stap 1: Isoleer uw site en maak een volledige back-up

Eerst, haal uw site offline om te voorkomen dat malware zich verspreidt en bescherm uw bezoekers. U kunt een onderhoudsplug-in of, voor een betere controle, voeg de volgende code toe aan uw .htaccess-bestand. Dit blokkeert alle bezoekers behalve jij.

(Vergeet niet om YOUR.IP.ADDRESS te vervangen door uw werkelijke IP-adres)

htaccess

<IfModule mod_rewrite.c>

Windows VPS-hosting

Remote Access & Full Admin

Koop nu

RewriteEngine aan

# Geef uw IP-adres toegang tot de site

HerschrijfCond %{REMOTE_ADDR} !^YOUR\.IP\.ADDRESS$

# Leid al het andere verkeer om

HerschrijfCond %{REQUEST_URI} !^/maintenance\.html$

Herschrijfregel .* /onderhoud.html [R=503,L]

</AlsModule>

Volgende, maak een volledige back-up van zowel uw bestanden als uw database. Dit is je vangnet. Maak via SSH verbinding met uw server en voer deze opdrachten uit:

bashen

# Maak een back-up van websitebestanden

tar -czvf site_backup_files.tar.gz /pad/naar/uw/openbare_html

# Maak een back-up van de database

Mysqldump -u dbnaam -p dbwachtwoord > database_backup.sql

Stap 2: Installeer en vergelijk de WordPress-kernbestanden opnieuw

Geïnfecteerde kernbestanden zijn een veelvoorkomend probleem. Begin met het opnieuw installeren van een nieuwe versie van WordPress. Als u dashboardtoegang heeft, ga naar Dashboard → Updates en klik op Nu opnieuw installeren.

Zo niet, gebruik WP-CLI via SSH voor een schone installatie, die de kernmappen wp-admin en wp-includes zal overschrijven:

bashen

# Download de nieuwste WordPress-kernbestanden, de map wp-content overslaan

wp core downloaden –inhoud overslaan –kracht

Nu, controleer de integriteit van uw installatie. Deze WP-CLI-opdracht vergelijkt uw bestanden met de officiële WordPress-controlesommen om wijzigingen te vinden:

bashen

# Controleer op gewijzigde kernbestanden

wp core verificatie-checksums

Elk bestand dat een “Controlesom komt niet overeen” fout is verdacht en vereist onderzoek.

Stap 3: Zoek naar verborgen achterdeurtjes in uw bestanden

Hackers verbergen graag achterdeurtjes in uw bestanden om later weer toegang te krijgen. Deze worden vaak versluierd met behulp van PHP-functies zoals base64_decode, uitvoerend, evaluatie, en str_rot13.

Voer deze krachtige opdracht uit via SSH om uw hele map te doorzoeken op bestanden die deze verdachte functies bevatten:

bashen

vinden . -type f -name ‘\*.php’ | xargs egrep -i “(mail|fsockopen|pfsockopen|stream_socket_client|uitvoerend|systeem|doorgang|evaluatie|base64_decode)”

Let goed op de resultaten. Hoewel sommige plug-ins deze functies legitiem kunnen gebruiken, elke verschijning in bestanden zoals wp-config.php, functies.php, of in de map wp-content/uploads staat een grote rode vlag.

Stap 4: Scan de database op kwaadaardige injecties

Malware bevindt zich niet alleen in uw bestanden; het kan ook rechtstreeks in uw database worden geïnjecteerd. Gebruik WP-CLI om te zoeken naar veelvoorkomende kwaadaardige patronen zoals <script> tags of functies zoals eval() en atob():

bashen

# Doorzoek de hele database naar de opening “<script” label

wp db zoeken “<script”

# Gebruik regex om in één keer naar meerdere verdachte patronen te zoeken

wp db zoeken ‘(<script|eval\(|KERKER|van CharCode)’ –regex

Noteer eventuele berichten, pagina's, of opties die deze scripts bevatten. Deze ga je in de volgende fase schoonmaken.

Stap 5: Maak de map wp-content/uploads schoon

De uploadmap mag alleen mediabestanden bevatten, geen PHP-scripts. Hackers verbergen hier vaak achterdeurtjes. Voer deze opdracht uit om eventuele PHP-bestanden in deze map te vinden:

bashen

zoek ./wp-content/uploads -type f -naam “*.php”

Controleer alle gevonden bestanden zorgvuldig en verwijder ze.

Stap 6: Verwijder schadelijke code en zuiver bestanden

Ga terug naar de lijst met geïnfecteerde bestanden die u in Step hebt gevonden 3. Open elk bestand en verwijder zorgvuldig de schadelijke code die u heeft geïdentificeerd. Verwijder geen volledige thema- of plug-inbestanden, omdat dit uw site kapot maakt. In plaats van, verwijder alleen de toegevoegde, versluierde code. Als u niet zeker weet hoe de originele code eruit zag, vergelijk het met een nieuwe kopie van het thema of de plug-in.

Stap 7: Controleer en reinig gebruikersaccounts

Een veelgebruikte tactiek voor hackers is het creëren van een verborgen admin-gebruiker. In uw WordPress-dashboard, ga naar Gebruikers → Alle gebruikers. Verwijder alle gebruikersaccounts die u niet herkent.

U kunt WP-CLI ook gebruiken om een ​​duidelijke lijst te krijgen van alle gebruikers en hun rollen:

bashen

# Vermeld alle gebruikers met hun rol en aanmaakdatum

wp-gebruikerslijst –velden=ID,gebruiker_login,rol,gebruiker_geregistreerd –orderby=gebruiker_geregistreerd

Degradeer alle gebruikers die een hogere rol hebben dan nodig is (bijv., A “Abonnee” wie is nu een “Beheerder”).

Stap 8: Reset alle wachtwoorden en beveiligingssleutels

Ga ervan uit dat alle inloggegevens zijn gecompromitteerd. Alles resetten:

• Alle WordPress-gebruikerswachtwoorden (vooral beheerders).
• Uw databasewachtwoord.
• FTP- en SSH-wachtwoorden.
• Het wachtwoord van uw hostingaccount.

Eindelijk, nieuwe WordPress-beveiligingssleutels genereren (zouten) en voeg ze toe aan uw wp-config.php-bestand. Nieuwe sleutels kunt u verkrijgen bij de officiële WordPress-zoutgenerator.

Stap 9: Vraag een beoordeling aan bij Google

Als uw site is gemarkeerd vanwege malware, je moet Google vragen om het te beoordelen.

1. Ga naar uw Google Search Console-account.
2. Navigeer naar het tabblad Beveiligingsproblemen.
3. Bevestig dat u de problemen heeft opgelost en klik “Vraag een beoordeling aan.”

Dit proces kan enkele dagen duren, maar het is essentieel om eventuele waarschuwingen uit de zoekresultaten te verwijderen en de reputatie van uw site te herstellen.

Hoe WordPress-malware automatisch te verwijderen

Als uw WordPress-site is gehackt, u kunt de infectie snel verwijderen zonder ingewikkelde handmatige stappen. De twee eenvoudigste geautomatiseerde methoden zijn:

Gebruik een WordPress Malware Scanner-plug-in

De meest eenvoudige doe-het-zelf-oplossing is het gebruik van een beveiligingsplug-in. Tools zoals WordFence fungeren als antivirus voor uw website, zodat u uw hele site kunt scannen en schadelijke code met slechts een paar klikken kunt verwijderen. Hier is hoe het werkt:

1. Installeren en scannen: Als u toegang heeft tot uw WordPress-beheerdersdashboard, installeer een beveiligingsplug-in zoals Wordfence. Navigeer naar de scanfunctie en voer een volledige sitescan uit.
2. Identificeer bedreigingen: De plug-in controleert uw kernbestanden, thema's, plug-ins, en databank, Geef vervolgens een lijst op met alle geïdentificeerde malware, achterdeurtjes, en verdachte code.
3. Automatisch reinigen: Naast elke geïdentificeerde bedreiging, je zult opties zien zoals “Bestand verwijderen” of “Reparatie.” Klik eenvoudig op de aanbevolen actie, en de plug-in zal het opruimen voor u afhandelen.

De beperking: Deze methode werkt alleen als u toegang heeft tot uw WordPress-beheerdersdashboard. Cyberaanvallers sluiten u vaak buiten, wat het installeren en gebruiken van een plug-in onmogelijk maakt. Als u bent buitengesloten, ga verder met de volgende methode.

Gebruik de ingebouwde malwarescanner van uw host

Als u geen toegang heeft tot uw beheerdersdashboard, uw webhost is uw volgende beste vriend. Veel beheerde WordPress-hosts bieden ingebouwde beveiligingshulpmiddelen waartoe u rechtstreeks toegang hebt vanuit uw WordPress-hosting bedieningspaneel:

1. Log in op uw hostingpaneel: Ga naar het configuratiescherm van uw hostingaccount (zoals hPanel, cPanel).
2. Navigeer naar de sectie Beveiliging: Zoek naar een menu-item zoals “Beveiliging” of “Malwarescanner.”
3. Voer de scan uit: Deze tool scant automatisch al uw websitebestanden vanaf serverniveau en verwijdert alle gevonden malware. U hoeft niets handmatig te doen. U ziet een rapport waarin wordt bevestigd dat uw site schoon is of waarin wordt beschreven welke malware is verwijderd.

Dit is de perfecte oplossing als je geen toegang meer hebt tot WordPress, omdat de scan onafhankelijk van het dashboard van uw website wordt uitgevoerd.

Conclusie

Het opschonen van malware van een WordPress-site die op een VPS wordt gehost, houdt veel meer in dan het verwijderen van verdachte bestanden. Het vereist gecoördineerde actie tijdens de inperking, scannen, handmatige sanering, herstel van bestanden en databases, rotatie van legitimatie, en volledige verharding. Omdat malware zich in kernbestanden kan bevinden, thema's, plug-ins, uploadt mappen, en databasetabellen, alleen een gelaagde en alomvattende aanpak zorgt voor volledig herstel.

Na het opruimen, het implementeren van sterke verhardingsmaatregelen zoals een WAF, tweefactorauthenticatie, gecontroleerde machtigingen, en routinematig scannen verbetert de veerkracht op de lange termijn aanzienlijk. Effectieve verwijdering van WordPress-malware in combinatie met gedisciplineerd onderhoud zorgt voor duurzame beveiliging van de VPS-omgeving.

Veelgestelde vragen (FAQ)

Hoe weet ik of mijn WordPress-site is geïnfecteerd met malware?

Veel voorkomende indicatoren zijn onder meer ongeautoriseerde omleidingen, onbekende beheerdersaccounts, gewijzigde bestanden, ongebruikelijk gebruik van serverbronnen, SEO-spam, en onverwachte wijzigingen in berichten of pagina's.

Wat is de snelste manier om malware van WordPress te verwijderen?

De snelste optie is het gebruik van een geautomatiseerde beveiligingsscanner zoals Wordfence of Sucuri, die kwaadaardige bestanden identificeert en deze met minimale handmatige inspanning verwijdert.

Kan malware terugkeren na verwijdering??

Ja. Herinfectie vindt plaats wanneer de oorspronkelijke kwetsbaarheid ongepatcht blijft. U moet WordPress bijwerken, plug-ins, thema's, wachtwoorden, en serverconfiguraties.

Verhoogt een VPS de veiligheid van WordPress??

Een VPS zorgt voor een betere isolatie, Toegewijde middelen, en diepere controle vergeleken met gedeelde hosting, maar het vereist een juiste configuratie.

Moet ik WordPress opnieuw installeren na het opruimen van de malware??

Het opnieuw installeren van kernbestanden wordt aanbevolen omdat dit garandeert dat alle essentiële componenten schoon zijn. Met deze stap wordt uw inhoud niet verwijderd en wordt de code-integriteit gegarandeerd.