Get in touch!

Development
Development
Web-applicaties
Web-applicaties

Jouw WordPress-site is gekaapt. Alleen Google ziet het.

Controleer het zelf
Afbeelding

Een vreemde mail met slecht nieuws. We snappen de skepsis

Iemand mailt je dat je site gehackt is, en biedt aan om het op te lossen. Klassieke truc, daar ben je voorzichtig mee. Goed dat je dat bent.

Daarom: lees dit verhaal even, en controleer het zelf. We laten je verderop precies zien hoe.

Klopt het verhaal? Dan hebben we wat te bespreken. Klopt het niet? Dan ben je vijf minuten verder en weet je dat je site in orde is.

Twee versies van dezelfde site

Iemand heeft toegang tot je WordPress-installatie gekregen en gebruikt een techniek die cloaking heet: letterlijk een vermomming.

  • Komt een gewone bezoeker langs? De site doet precies wat hij hoort te doen.
  • Komt Googlebot langs? De site verandert in een advertentiepagina voor namaak-medicijnen, gokwebsites, replica-handtassen of erger.

Het doel van de aanval is niet jouw bezoekers oplichten, want die zien er namelijk niks van. Het doel is jouw domeinnaam misbruiken om hoog in Google te ranken voor spam-zoektermen. Jouw site heeft autoriteit opgebouwd, en die wordt nu geleend.

Jij merkt er niks van. Tot Google het wel merkt.

Controleer je eigen domein

Vul je domein in. Wij halen je homepage twee keer op, één keer als gewone bezoeker en één keer als Googlebot. Dan vergelijken we wat er terugkomt.

We slaan niets op en hebben geen account of e-mailadres nodig.

En hoe kwamen wij bij jou uit?

Eerlijk antwoord: we scanden het Nederlandse web op cloaking-aanvallen. We sturen verzoeken naar veel websites, eerst als een gewone bezoeker en daarna als Googlebot, en vergelijken wat er terugkomt.

Bij de meeste sites is dat verschil minimaal: een paar regels analytics, wat lazy-loaded plaatjes. Bij een gehackte site is het verschil te groot om toeval te zijn. Hele andere pagina's, andere zoekwoorden, andere talen soms.

Jouw site sprong eruit in die vergelijking. Daarom deze pagina.

We sturen geen massamails. Wie deze pagina te zien krijgt, zit op onze lijst om een reden.

SEO-straf

Google haalt je site uit de zoekresultaten zodra het wordt opgemerkt. Niet alleen voor de spam, maar voor je hele domein

Reputatie

Bezoekers krijgen 'Deze site kan gevaarlijk zijn'-waarschuwingen in Chrome, Safari en Firefox

Blacklists

Mail-clients en spamfilters blokkeren je domein. Je e-mails komen niet meer aan

Juridisch risico

Verspreiding van malware of nep-medicijnen via jouw domein is jouw verantwoordelijkheid, ook als je er niks van wist

De aanvaller is binnengekomen via een open deur

WordPress zelf is niet onveilig. Maar een typische WP-installatie heeft tien tot twintig plugins, een thema, en een hosting-omgeving. Eén verouderde plugin met een bekend lek is genoeg.

In bijna alle gevallen die wij zien is het er één van deze:

  • Een plugin die al maanden niet is geüpdatet (de aanvaller scant op exact dat versienummer)
  • Een zwak admin-wachtwoord of een gelekt wachtwoord uit een andere dienst
  • Een themabestand met een ongepatchte kwetsbaarheid
  • Een lek bij de hostingpartij waardoor één gehackte site andere besmette

Welke van deze het was, weet je pas na een audit. Maar het is nooit "WordPress is gewoon onveilig". Het is altijd iets specifieks dat dicht had gemoeten.

Check het zelf, in twee minuten

Afbeelding
Afbeelding
Afbeelding
Afbeelding

Een gehackte WordPress repareer je niet met een plugin

De aanvaller heeft toegang. Het opruimen van de zichtbare schade is niet genoeg. Er staan vrijwel zeker backdoors, geplante admin-accounts of injecties in de database die je over het hoofd ziet als je niet weet waar je moet kijken.

Wat er moet gebeuren, in deze volgorde:

  • Bevries de schade: site offline of in onderhoudsmodus, voordat Google er nog een keer langskomt
  • Forensische scan: alle bestanden, database-tabellen en cron-jobs doorlopen op backdoors en injecties
  • Schone herstart: verdachte bestanden weg, plugins opnieuw vanuit verified bronnen, wachtwoorden en API-sleutels rouleren
  • Hardening: automatische updates, sterkere authenticatie, file-integrity monitoring
  • Schoonpoetsen bij Google: de gespamde URL's laten de-indexeren, en een hernieuwde indexering aanvragen zodat je SEO-positie zo min mogelijk schade oploopt

Audit

Volledige scan van bestanden, database en hosting-omgeving

Schoonmaak

Backdoors weg, malware verwijderd, schone herstart vanuit verified bronnen

Hardening

Sterke authenticatie, automatische updates, monitoring tegen herhaling

Nazorg

Heraanvraag indexering bij Google, melding wegnemen in Search Console