Het is even schrikken als je een mailtje krijgt dat een site is gehackt. Zeker als het alweer de tweede keer is dat je zo’n mailtje ontvangt. Zo ook een klant van mij. Het eerste mailtje ging niet over WordPress. Op de server stond nog een voorloper van WordPress, B2. Deze site hadden we laten staan omdat het importeren van de berichten niet lukten. We hadden er gewoon WordPress naast gezet. Maar nu bleek dat hackers een lek in B2 hadden gevonden en via de site werden van die bankmailtjes gestuurd. Directory achter een wachtwoord om zo tijd te maken om te kijken of er een manier is om de berichten toch te bewaren. En het was weer rustig. Tot er gisteren weer een mailtje kwam.. nu zou de WordPress site gehackt zijn. Dit bleek niet geheel het geval te zijn. Er stonden nog wat oude resten op de server en via deze resten was een bestand in de WordPress directorie geplaatst. In eerste instantie kijk je er zo overheen. Het bestand heet wp-activates.php en WordPress zelf kent het bestand wp-activate.php. Maar gelukkig door te zoeken op bestanden met een recente wijzigingsdatum hebben we alle foute bestanden kunnen verwijderen en is het weer rustig op de server. Belangrijk dus als je al een lange geschiedenis hebt van websites dat je af en toe ook eens op de server kijkt voor oude resten. Je kunt dus je WordPress nog zo up-t0-date houden, via deze oude resten kan dus ook van alles nog gebeuren. Controleer dus regelmatig je server ook op bestanden buiten WordPress en hou je WordPress bestanden in de gaten. Niet alle bestanden van WordPress worden via de automatische update vervangen. Het kan dus inderdaad zijn dat er oudere bestanden tussen staan, maar daarvan kun je uitgaan dat ze veilig zijn. Bij eventuele lekken in deze bestanden zou WordPress ze vervangen. Maar wees alert op bestanden die een afwijkende datum hebben dan de datum van updates en kijk bij deze bestanden of ze inderdaad bij WordPress horen. Ik ga eens op zoek naar plugins die een melding geven als er zomaar bestanden wijzigen….
