The #ChromeDevSummit site is live, happening Nov 12-13 in San Francisco, CA
Check it out for details and request an invite. We'll be diving deep into modern web tech & looking ahead to the platform's future.

Uw site schoonmaken en bijhouden

Wat u nodig heeft:

  • Beheerderstoegang via shell/terminal tot de servers van uw site: internet, database, bestanden
  • Kennis van shell/terminal-opdrachten
  • Inzicht in code (zoals PHP of JavaScript)
  • Opslagruimte om back-ups van uw site te maken (inclusief de bestanden, database, afbeeldingen, enzovoort)

Volgende acties:

In deze stap behandelen we verschillende acties: 

  • Waar u extra bronnen kunt vinden als u vermoedt dat de hacker uit was op de persoonlijke gegevens van gebruikers (net als bij phishing-pagina's)
  • De optie om URL's verwijderen in Search Console te gebruiken om ervoor te zorgen dat geheel nieuwe, ongewenste en voor gebruikers zichtbare URL's van de hacker waarvan u niet wilt dat deze worden weergegeven in zoekresultaten van Google, sneller worden verwijderd
  • De optie om Fetchen als Google in Search Console te gebruiken om ervoor te zorgen dat schone pagina's (pagina's die nieuw zijn of onlangs zijn geüpdatet) die u wilt weergeven in zoekresultaten van Google, sneller worden verwerkt door Google
  • Installatie van de nieuwste, veiligste softwareversie
  • Verwijdering van onnodige of ongebruikte apps of plug-ins die uw site in de toekomst kwetsbaarder kunnen maken
  • Herstellen van valide content en elimineren van de content van de hacker
  • Repareren van het onderliggende beveiligingsprobleem waarvan de hacker misbruik heeft gemaakt
  • Wijzigen van alle wachtwoorden
  • Plannen maken om uw site veilig te houden

1. Ondersteuningsbronnen vinden voor de omgang met het verlies van vertrouwelijke gegevens, zoals bij phishing-pagina's

Als er vertrouwelijke gebruikersgegevens zijn verkregen via uw site (bijvoorbeeld vanwege een phishing-aanval), moet u rekening houden met zakelijke verplichtingen en wet- en regelgeving voordat u begint met het schoonmaken van uw site of het verwijderen van bestanden. Op antiphishing.org vindt u nuttige bronnen, zoals het document Wat te doen wanneer uw site is gehackt door phishing.

2. De verwijdering van door de hacker gemaakte URL's bespoedigen

Als de hacker geheel nieuwe, voor gebruikers zichtbare URL's heeft gemaakt, kunt u deze sneller laten verwijderen uit zoekresultaten van Google met de functie URL's verwijderen in Search Console. Deze stap is geheel optioneel. Als u de pagina's gewoon verwijdert en uw server zo configureert dat een Statuscode 404 wordt weergegeven, verdwijnen de pagina's na verloop van tijd vanzelf uit de index van Google.

  • Het besluit om 'URL's verwijderen' te gebruiken, hangt waarschijnlijk af van het aantal nieuwe ongewenste pagina's en de mogelijke schade die gebruikers als gevolg van deze pagina's kunnen lijden. Het kan omslachtig zijn om een groot aantal pagina's op deze manier te verwijderen. Als u wilt voorkomen dat de pagina's die u met 'URL's verwijderen' heeft ingediend, ooit nog verschijnen in zoekresultaten, moet u deze pagina's ook zo configureren dat voor de ongewenste/verwijderde URL's het antwoord '404 Bestand niet gevonden' wordt weergegeven.
  • Gebruik deze tool niet voor het verwijderen van voorheen goede pagina's die zijn geïnfecteerd door de hacker. U wilt dat deze pagina's na herstel weer zichtbaar zijn in zoekresultaten. URL's verwijderen is alleen bedoeld voor pagina's die u niet meer terug wilt zien in zoekresultaten.

3. Bespoedigen van de verwerking van schone pagina's door Google

Als u nieuwe of geüpdatete schone pagina's heeft, kunt u de functie Fetchen als Google in Search Console gebruiken om deze pagina's naar de index van Google te verzenden. Dit is geheel optioneel. Als u deze stap overslaat, worden uw nieuwe of aangepaste pagina's na verloop van tijd waarschijnlijk gecrawld en verwerkt.

4. Uw server(s) schoonmaken

Nu kunt u beginnen met het schoonmaken van uw site op basis van de notities die u heeft gemaakt tijdens de stappen De schade beoordelen en Het beveiligingsprobleem identificeren. De volgende actie die u in deze stap onderneemt, is afhankelijk van het type back-up waarover u beschikt.

  • Schone en actuele back-up
  • Schone maar verouderde back-up
  • Geen beschikbare back-up   

Controleer eerst of deze back-up is gemaakt voordat uw site werd gehackt.

  • Schone en actuele back-up
    1. Zet uw back-up terug.
    2. Installeer alle beschikbare software-upgrades, -updates of -patches. Dit omvat software voor het besturingssysteem als u de server beheert en alle apps, zoals contentmanagementsysteem, e-commerceplatform, plug-ins, sjablonen, enzovoort.
    3. Ga na of u software op uw server kunt verwijderen die niet meer nodig is voor de site (bijvoorbeeld widgets, plug-ins of apps).
    4. Verhelp het beveiligingsprobleem.
    5. Los alle problemen op die u in De schade beoordelen heeft gevonden.
    6. Wijzig de wachtwoorden nog een keer voor alle aan de site gerelateerde accounts (bijvoorbeeld inloggegevens voor FTP-toegang, voor toegang tot databases, van systeembeheerders en van CMS-accounts). Op systemen met Unix:
      $passwd admin1
  • Schone maar verouderde back-up
    1. Maak een schijf-image van uw huidige website, ook als deze nog steeds is geïnfecteerd. Dit exemplaar is voor de zekerheid. Markeer de kopie als geïnfecteerd om deze te onderscheiden van de andere exemplaren. Op een systeem met Unix maakt u als volgt een schijf-image:
      $dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9
        > /mirror/full-backup-20120125-infected.gz
    2. Maak een back-up van het bestandssysteem van uw server, inclusief afbeeldingen en mediabestanden. Als u een database heeft, maakt u ook daarvan een back-up.
      $tar -pczf full-backup-20120125-infected.tar.gz www/ $ mysqldump -u root
        -p --all-databases | gzip -9 > fulldb_backup-20120125-infected.sql
    3. Zet de schone maar verouderde back-up terug op uw server.
    4. Ga na of u software op uw server kunt verwijderen die niet meer nodig is voor de site (bijvoorbeeld widgets, plug-ins of apps).
    5. Upgrade alle software, inclusief het besturingssysteem als u de server beheert en alle apps, zoals contentmanagementsysteem, e-commerceplatform, plug-ins, sjablonen, enzovoort. Zorg ervoor dat alle beschikbare beveiligingsupdates en -patches zijn geïnstalleerd.
    6. Verhelp het beveiligingsprobleem.
    7. Voer handmatig of geautomatiseerd een diff voor de site uit tussen de schone back-up en de huidige, geïnfecteerde kopie.
      $diff -qr www/ backups/full-backup-20120124/
    8. Upload alle nieuwe, schone content die u van de geïnfecteerde kopie wilt behouden, naar de geüpgradede server.
      $rsync -avz /backups/full-backup-20120124/www/clean-file.jpg /www/
    9. Controleer of u elke URL heeft gecorrigeerd die u in De schade beoordelen heeft genoteerd.
    10. Wijzig de wachtwoorden nog een keer voor alle aan de site gerelateerde accounts (bijvoorbeeld inloggegevens voor FTP-toegang, voor toegang tot databases, van systeembeheerders en van CMS-accounts). Op systemen met Unix:
      $passwd admin1
  • Geen beschikbare back-up
    1. Maak twee back-ups van uw site, ook als deze nog steeds is geïnfecteerd. Een extra back-up is handig voor het herstellen van per ongeluk verwijderde content of voor het ongedaan maken van vergissingen. Markeer beide back-ups als 'geïnfecteerd' zodat u ze kunt herkennen.
      • Een van de back-ups fungeert als schijf-image of kloon van uw site. Deze indeling maakt het herstellen van de content nog eenvoudiger. U kunt de schijf-image bewaren voor noodgevallen. Op een systeem met Unix maakt u als volgt een schijf-image:
        $dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 >
          /mirror/full-backup-20120125-infected.gz
      • De andere back-up dient als kopie van het bestandssysteem van uw server, inclusief afbeeldingen en mediabestanden. Maak indien van toepassing ook een back-up van uw database.
        $tar -pczf full-backup-20120125-infected.tar.gz www/
         
        $mysqldump -u root -p --all-databases | gzip -9 > fulldb_backup-20120125-infected.sql
      • Als u geen schijf-image heeft, maakt u twee back-ups van de database en twee back-ups van het bestandssysteem.
    2. Maak de content van de site in de nieuwe back-up van het bestandssysteem schoon (niet de server zelf).
      1. Als u in uw eerdere onderzoek te soepele toegangsrechten voor bestanden heeft gevonden, kunt u deze nu corrigeren. Doe dit in de back-up, niet op de server zelf.
      2. Maak in de back-up alle bestanden schoon die horen bij de gehackte URL's die u in De schade beoordelen heeft gevonden. Dit kunnen configuratiebestanden van de server, JavaScript, HTML of PHP zijn.
      3. Verwijder ook (op basis van een 404-melding) nieuwe bestanden van de hacker (die u al dan niet heeft ingediend met de tool 'URL's verwijderen' in Search Console).
      4. Verhelp het beveiligingsprobleem als dit zich in uw code of gekraakte wachtwoorden bevindt. Bibliotheken met invoervalidaties of veiligheidscontroles kunnen nuttig zijn.
      5. Als uw site een database heeft, begint u met het schoonmaken van door de hacker gewijzigde records in uw back-up. Als u alle records heeft gehad, voert u een laatste controle uit voor de resterende records om er zeker van te zijn dat alles er schoon uitziet.
      6. Wijzig de wachtwoorden nog een keer voor alle aan de site gerelateerde accounts (bijvoorbeeld inloggegevens voor FTP-toegang, voor toegang tot databases, van systeembeheerders en van CMS-accounts). Op systemen met Unix:
        $passwd admin1
      7. Op dit punt moet de back-up van uw site die eerst geïnfecteerd was, alleen nog schone gegevens bevatten. Houd dit schone exemplaar bij de hand en ga door naar actie 5.

5. Overbodige software verwijderen

Ga na of u software op uw server kunt verwijderen die niet meer nodig is voor de site (bijvoorbeeld widgets, plug-ins of apps). Dit kan de veiligheid verhogen en verder onderhoud vereenvoudigen.

6. Alle servers schoonmaken

  1. Voer niet alleen een upgrade uit, maar verwijder ook de software en installeer deze opnieuw. Upgrades kunnen bestanden van een vorige versie onberoerd laten. Als een geïnfecteerd bestand op de server achterblijft, is de kans groter dat de server opnieuw gehackt wordt.
    • Het opnieuw installeren geldt voor het besturingssysteem als u de server beheert en voor alle apps, zoals contentmanagementsysteem, e-commerceplatform, plug-ins, sjablonen, enzovoort. Zorg ervoor dat alle beschikbare beveiligingsupdates en -patches zijn geïnstalleerd.
  2. Zet goede content uit de schone back-up van het bestandssysteem over naar de opnieuw geïnstalleerde server(s). Upload/herstel alleen bestanden/databases als u zeker weet dat deze schoon zijn. Zorg ervoor dat u de juiste toegangsrechten behoudt en de opnieuw geïnstalleerde systeembestanden niet overschrijft.
  3. Wijzig de wachtwoorden nog een laatste keer voor alle aan de site gerelateerde accounts (bijvoorbeeld inloggegevens voor FTP-toegang, voor toegang tot databases, van systeembeheerders en van CMS-accounts). Op systemen met Unix:
    $passwd admin1

7. Een onderhoudsplan voor de lange termijn maken

U kunt op internet veel nuttige bronnen vinden voor goed onderhoud van uw site, zoals Badware voorkomen: de basisbeginselen van StopBadware. We raden u ook sterk aan het volgende te doen:

  • Maak regelmatige, geautomatiseerde back-ups van uw site.
  • Zorg ervoor dat u uw software up-to-date houdt.
  • Zorg dat u weet hoe u alle apps, plug-ins, externe software, enzovoort, beveiligt voordat u deze op uw server installeert. Een beveiligingsprobleem in één app kan invloed hebben op de veiligheid van uw gehele site.
  • Zorg ervoor dat u sterke wachtwoorden gebruikt.
  • Beveilig alle apparaten die u gebruikt om in te loggen (houd besturingssysteem en browser up-to-date).

8. Laatste controle of u het schoonmaken volledig heeft afgerond

Zorg dat u de volgende vragen positief kunt beantwoorden:

  • Heb ik de juiste stappen ondernomen als de hacker zich persoonlijke informatie van gebruikers heeft toegeëigend? 
  • Beschikt mijn site over de nieuwste, veiligste softwareversie? 
  • Heb ik alle onnodige of ongebruikte apps of plug-ins verwijderd die mijn site in de toekomst kwetsbaarder kunnen maken? 
  • Heb ik mijn content hersteld en de content van de hacker verwijderd? 
  • Heb ik het primaire beveiligingsprobleem opgelost waardoor mijn site kon worden gehackt? 
  • Heb ik een plan om mijn site veilig te houden?

9. Zet uw site weer online

Volgende stap

U bent bijna klaar. De laatste stap in het proces is Een beoordeling aanvragen.