Get in touch!

Development
Development
Web-applicaties
Web-applicaties

Jouw WordPress-site is gekaapt. Alleen Google ziet het.

Afbeelding

Een vreemde mail met slecht nieuws. We snappen de skepsis

Iemand mailt je dat je site gehackt is, en biedt aan om het op te lossen. Klassieke truc, daar ben je voorzichtig mee. Goed dat je dat bent.

Daarom: lees dit verhaal even, en controleer het zelf. We laten je verderop precies zien hoe.

Klopt het verhaal? Dan hebben we wat te bespreken. Klopt het niet? Dan ben je vijf minuten verder en weet je dat je site in orde is.

Twee versies van dezelfde site

Iemand heeft toegang tot je WordPress-installatie gekregen en gebruikt een techniek die cloaking heet: letterlijk een vermomming.

  • Komt een gewone bezoeker langs? De site doet precies wat hij hoort te doen.
  • Komt Googlebot langs? De site verandert in een advertentiepagina voor namaak-medicijnen, gokwebsites, replica-handtassen of erger.

Het doel van de aanval is niet jouw bezoekers oplichten, want die zien er namelijk niks van. Het doel is jouw domeinnaam misbruiken om hoog in Google te ranken voor spam-zoektermen. Jouw site heeft autoriteit opgebouwd, en die wordt nu geleend.

Jij merkt er niks van. Tot Google het wel merkt.

Controleer je eigen domein

Vul je domein in. Wij halen je homepage twee keer op, één keer als gewone bezoeker en één keer als Googlebot. Dan vergelijken we wat er terugkomt.

We slaan niets op en hebben geen account of e-mailadres nodig.

En hoe kwamen wij bij jou uit?

Eerlijk antwoord: we scanden het Nederlandse web op cloaking-aanvallen. We sturen verzoeken naar veel websites, eerst als een gewone bezoeker en daarna als Googlebot, en vergelijken wat er terugkomt.

Bij de meeste sites is dat verschil minimaal: een paar regels analytics, wat lazy-loaded plaatjes. Bij een gehackte site is het verschil te groot om toeval te zijn. Hele andere pagina's, andere zoekwoorden, andere talen soms.

Jouw site sprong eruit in die vergelijking. Daarom deze pagina.

We sturen geen massamails. Wie deze pagina te zien krijgt, zit op onze lijst om een reden.

Afbeelding

SEO-straf

Google haalt je site uit de zoekresultaten zodra het wordt opgemerkt. Niet alleen voor de spam, maar voor je hele domein

Afbeelding

Reputatie

Bezoekers krijgen 'Deze site kan gevaarlijk zijn'-waarschuwingen in Chrome, Safari en Firefox

Afbeelding

Blacklists

Mail-clients en spamfilters blokkeren je domein. Je e-mails komen niet meer aan

Afbeelding

Juridisch risico

Verspreiding van malware of nep-medicijnen via jouw domein is jouw verantwoordelijkheid, ook als je er niks van wist

De aanvaller is binnengekomen via een open deur

WordPress zelf is niet onveilig. Maar een typische WP-installatie heeft tien tot twintig plugins, een thema, en een hosting-omgeving. Eén verouderde plugin met een bekend lek is genoeg.

In bijna alle gevallen die wij zien is het er één van deze:

  • Een plugin die al maanden niet is geüpdatet (de aanvaller scant op exact dat versienummer)
  • Een zwak admin-wachtwoord of een gelekt wachtwoord uit een andere dienst
  • Een themabestand met een ongepatchte kwetsbaarheid
  • Een lek bij de hostingpartij waardoor één gehackte site andere besmette

Welke van deze het was, weet je pas na een audit. Maar het is nooit "WordPress is gewoon onveilig". Het is altijd iets specifieks dat dicht had gemoeten.

Check het zelf, in twee minuten

Afbeelding
Afbeelding
Afbeelding
Afbeelding

Doe dit meteen, ook als je ons niet belt

Klopt het verhaal voor jouw site? Dan zijn er drie dingen die je vandaag al kunt doen, los van wat je verder besluit. Ze kosten je niks en beperken de schade nu meteen.

  • Reset je wachtwoorden. WordPress-admin, hosting, FTP en de database.
  • Maak screenshots van wat je ziet. De `site:`-resultaten, de afwijkende Googlebot-output, de meldingen in Search Console. Dat is je bewijs, en het scheelt later veel tijd bij het opruimen.
  • Zet geen oude back-up zomaar terug. Verleidelijk, maar riskant. Je weet niet wanneer de aanvaller binnenkwam, dus de kans is groot dat een "schone" back-up de backdoor al bevat. Je zet dan precies het lek terug dat je kwijt wilt.

Meer hoef je vandaag niet te doen. Hiermee staat de bloeding stil en is je bewijs veilig. De echte schoonmaak kan daarna, met ons of met iemand anders.

Een gehackte WordPress repareer je niet met een plugin

De aanvaller heeft toegang. Het opruimen van de zichtbare schade is niet genoeg. Er staan vrijwel zeker backdoors, geplante admin-accounts of injecties in de database die je over het hoofd ziet als je niet weet waar je moet kijken.

Wat er moet gebeuren, in deze volgorde:

  • Bevries de schade: site offline of in onderhoudsmodus, voordat Google er nog een keer langskomt
  • Forensische scan: alle bestanden, database-tabellen en cron-jobs doorlopen op backdoors en injecties
  • Schone herstart: verdachte bestanden weg, plugins opnieuw vanuit verified bronnen, wachtwoorden en API-sleutels rouleren
  • Hardening: automatische updates, sterkere authenticatie, file-integrity monitoring
  • Schoonpoetsen bij Google: de gespamde URL's laten de-indexeren, en een hernieuwde indexering aanvragen zodat je SEO-positie zo min mogelijk schade oploopt
Afbeelding

Audit

Volledige scan van bestanden, database en hosting-omgeving

Afbeelding

Schoonmaak

Backdoors weg, malware verwijderd, schone herstart vanuit verified bronnen

Afbeelding

Hardening

Sterke authenticatie, automatische updates, monitoring tegen herhaling

Afbeelding

Nazorg

Heraanvraag indexering bij Google, melding wegnemen in Search Console

Wachten is duurder dan repareren

Hoe langer dit doorgaat, hoe groter de schade. Op een dag merkt Google het zelf. Dan ben je je rankings kwijt. Niet alleen voor de spamwoorden, maar voor je hele site. Reputatie en SEO-positie terugverdienen kost maanden, soms jaren.

Wil je het zelf oplossen? Ga je gang. We sturen je op verzoek een uitgebreidere uitleg en een lijst met tools waar je mee aan de slag kunt. Maar wacht niet tot Google de eerste klap uitdeelt.

Wil je het door ons laten doen? Stuur ons je domein. Eerste check is gratis, dan zien we hoe diep het zit.

Veelgestelde vragen

Ik kreeg een onverwachte mail. Hoe weet ik dat dit klopt en geen verkooptruc is?

Terechte vraag, en goed dat je kritisch bent. Daarom vragen we je niks aan te nemen: hierboven staan twee manieren om de aanval zelf te controleren, zonder tools, account of betaling. Komt er niks vreemds boven, dan is je site in orde en ben je vijf minuten kwijt.

Kan de aanvaller nu ook bij mijn klant- of bezoekersgegevens?

In theorie heeft iemand met deze toegang ook bij de database gekund. In de meeste cloaking-gevallen is het de aanvaller puur om je Google-positie te doen en niet om gegevens, maar zekerheid krijg je pas met een scan. Die doen we als eerste, zodat je snel weet waar je staat in plaats van je het ergste voor te stellen.

Moet ik dit als datalek melden?

Dat hangt ervan af of er persoonsgegevens in het geding zijn en of er risico voor betrokkenen is. Vaak valt dat mee. We helpen je inschatten of een melding bij de Autoriteit Persoonsgegevens nodig is en zorgen voor de onderbouwing als dat zo blijkt. Je hoeft dat niet zelf uit te zoeken.

Is mijn site nu verloren?

Nee. In bijna alle gevallen is de site goed te herstellen. We halen de aanvaller eruit, ruimen op vanuit schone bronnen en vragen bij Google een nieuwe indexering aan, zodat je zo min mogelijk SEO-schade overhoudt.

Moet mijn site offline tijdens het herstel?

Meestal kort, of even in onderhoudsmodus, zodat Google de spam niet opnieuw oppikt terwijl we opruimen. We stemmen het af op jouw situatie en houden de overlast zo klein mogelijk.

Wat kost de eerste check?

Niks. De eerste check is gratis. Daarna weten we hoe diep het zit en bespreken we wat er nodig is.

En nee, je hoeft ons nu nog niks te geven

Twee dingen die je waarschijnlijk denkt. Allebei terecht.

"Ik geef niemand toegang of geld op basis van één mail." Goed, doe dat ook niet. We vragen nooit je inloggegevens of een betaling voordat jij hebt gekozen met wie je in zee gaat. De eerste check doen we van buitenaf, zonder toegang tot je site.

"Ik wil eerst andere offertes." Verstandig. Vraag ze op. We werken zonder lock-in: je krijgt van ons een helder beeld van wat er aan de hand is en wat herstel kost, en daar mag je gerust mee rondkijken. Kies je een ander? Prima. Het belangrijkste is dat het wordt opgelost.

Wat je krijgt voordat er iets is getekend of betaald: een gratis eerste check en een eerlijke inschatting. Verder niks verplicht.

Klopt het verhaal voor jouw site? Laten we het erover hebben.

Afbeelding
Afbeelding

Niek van der Velde

Eigenaar & Software-engineer

050-2306103
info@nict.works

Stuur ons je domein