Het is heel vervelend als een website wordt gehacked. Herstel kost tijd en moeite en een gehackte website kan imagoschade opleveren. Voorkom een gehackte website!

Zorg voor een veilige website, zorg voor regelmatige backups & updates. Is uw website toch nog gehackt? db8 gebruikt de volgende herstelprocedure...

1. Veiligstellen

1a. oude backups

Heeft u een schone backup van voor de hack? Sommige hostingbedrijven maken regelmatig backups van de gehele website, maar die worden slechts tijdelijk bewaard. Download zo spoedig mogelijk enkele backups (de oudste en de meest recente van voor de hack) van bestanden en van de database.

1b. backup gehackte website

Maak een backup van de huidige (gehackte) website. Mochten de herstel werkzaamheden niet goed gaan, dan kun je ieder geval naar dit moment teruggaan. Verder kun je de backup later gebruiken voor verdere analyse. Tenslotte kan de backup gebruikt worden voor herstel werkzaamheden.

1c. server access logfiles

Stel de server logfiles veilig. Misschien kunnen ze gebruikt worden voor een analyse van het veiligheidsprobleem. Logfiles worden maar tijdelijk bewaard. Kopieer ze zo spoedig mogelijk naar een andere locatie voor verder onderzoek.

2. Analyse

Het is vervelend als een website wordt gehacked. Het wordt nog vervelender als het daarna nogmaals gebeurd. Voorkom een volgende hack en achterhaal het veiligheidsprobleem zodat u het kunt oplossen.

2a. Joomla versie?

Welke Joomla versie was er geinstalleerd? Was die up-to-date? Zijn er veiligheidsproblemen bekend met de gebruikte versie?

2b. 3rd party extensies?

Welke uitbreidingen + versies zijn er op de website geinstalleerd? Waren die up-to-date? Zijn er veiligheidsproblemen bekend met de gebruikte versies?

2c. veiligheidsissues bekend?

Zijn er veiligheidsissues mbt de server software bekend? Bijv PHP versie?

2d. analyse gehackte bestanden

Welke bestanden zijn er aangepast? Zijn de sitemap.xml en .htaccess aangepast? Welke bedoeling hadden de hackers? Is de methode bekend?

2e. server access logfiles

Bepaal de datum + tijdstip van wanneer de hack heeft plaatsgevonden. Analyseer de server access logfiles om te zien hoe de hack heeft kunnen gebeuren.

NB: datum+tijd van bestanden zijn aanpasbaar. Hacker script is te verbergen!

3. Herstellen

Vervolgens dient de gehackte website hersteld te worden

3a. Oplossen veiligheidsprobleem

Hackers laten vaak meerdere backdoors achter op de server. Als die na het herstel van de website achterblijven, wordt de website in no-time weer gehacked. Herstel het veiligheidsprobleem, update Joomla en alle 3rd party extensies. Maak vervolgens een nieuwe backup van de schone website. Gebruik bijvoorbeeld Akeeba Backup. Verwijder op de server eerst alle oude bestanden, of plaats ze in een submap die de permissies 000 krijgt zodat niemand er meer bij kan. Plaats dan de backup terug op de server.

3b. Opschonen website

Hopelijk heeft u nog een schone backup van voor de hack. Installeer die op een offsite locatie. Bijvoorbeeld op een webomgeving op een locale PC. Die schone omgeving kunt u ook gebruiken bij een vergelijking met de gehackte website. Is er veel veranderd sind de backup? Die veranderingen kunnen handmatig worden teruggeplaatst op de schone website. Bij veel veranderingen is dat op database niveau te doen mbv SQL queries.

Indien er geen schone backup aanwezig is, kan de website het best geheel opnieuw opgebouwd worden met schone software. De content (menu items, categorieen, artikelen, etc) van de gehackte website kan dan later op database niveau worden overgezet.

NB: Werk offline - doe dit alles op lokale server

3c. Google sitemap

Gehackte pagina's kunnen door zoekmachines geindexeerd zijn. Om de gehackte pagina's uit de zoekresultaten te krijgen dient u bij Google een nieuwe sitemap aan te melden. En laat HTTP foutcodes genereren op de URLs van eerder gehackte pagina's.

3d. Wachtwoorden

Verander alle wachtwoorden op de server: het FTP wachtwoord, het database wachtwoord, wachtwoorden van de Joomla gebruikers op uw website.
Gebruikt u nog FTP? Overweeg het gebruik van sFTP (secure FTP)

4. Informeren

4a. klant

Indien het de website van een klant betreft, dan is het raadzaam om uw klant te informeren voordat u de herstelwerkzaamheden begint.

4b. hostingpartij

Vergeet niet om de hostingpartij te informeren over de hack: de achtergronden, wanneer het heeft plaatsgevonden, het ontdekte veiligheidsprobleem en wat u heeft gedaan om het te herstellen. Een goed hostingbedrijf zal de informatie gebruiken om actief naar het veiligheidsprobleem bij andere klanten te zoeken en dan maatregelen te treffen. Het is in uw eigen belang dat de (shared) server (en gedeelde IP adres) schoon is en niet voor bijv spam bots wordt misbruikt.

4c. Autoriteit Persoonsgegevens

Vanaf 1 januari 2016 is het wettelijk verplicht om datalekken van gevoelige persoonlijke informatie te melden bij de Autoriteit Persoonsgegevens. Dit dient binnen 72 uur na het ontdekken van het datalek gedaan te worden.

4d. gebruikers website

Indien de gelekte persoonsgegevens niet versleuteld bewaard waren en het datalek ongunstige gevolgen voor het privéleven van de gebruikers kan hebben, dan dienen de gebruikers geinformeerd te worden. Maar het is sowiezo netjes om ze op de hoogte te brengen van het datalek, de mogelijke gevolgen en wat u eraan doet om het in de toekomst te voorkomen.

4e. developer

Indien een onbekend veiligheidsprobleem in een 3rd party extensie werd misbruikt, is het raadzaam om de ontwikkelaar van die software te informeren. Bij een software update wilt u het veiligheidsprobleem niet opnieuw op uw website krijgen.