Hoi,

Na jaren Joomla te hebben gebruikt zonder virus/malware problemen, nu bezig met de eerste wordpress site en direct problemen met walware.
Als ik naar de site wil gaan, verbind hij niet met de site maar met www.autocentrolitoranea.it, waarna mijn eigen site super traag wordt ingeladen.

Ik heb al een scan gedaan met WordFence maar deze heeft geen problemen met files/plugins/themes gevonden.

Hoe kan ik te weten komen waar het probleem zich situeert ? Zijn er andere malware scans die ik kan runnen ?

Groeten
Peter

Nog een keer scannen met WordFence, maar nu alle opties onder "scans to include" aanvinken.

1) De core van WordPress opnieuw geupload?
2) Welke plugins gebruik je allemaal, niet alles wordt even goed onderhouden.
3) Eigen thema, gekochte thema, of een gedownloade thema ?

Opschoning van installatie:
1:
Verwijder de mappen /wp-admin en /wp-includes, verwijder alle bestanden op de wp-config.php na.
Eventueel de .htaccess backuppen is verstandig hierbij wanneer je wijzigingen hebt gemaakt.

2:
Upload de opnieuw gedownloade wordpress core op de map /wp-content na op je FTP.

3:
Zet de bestandsrechten van je wp-config.php op 0400, deze staat als het goed is op 0644.
De wp-config-sample.php mag je verwijderen die is niet meer nodig (alleen voor installatie).

4:
Ga alle mappen binnen /wp-content na, let hierbij op welk bestand recentelijk gewijzigd/geupload is.
Hiermee kan je vaak snel vinden welke bestanden geupload/aangepast zijn.


Mocht je niet eruit komen mag je altijd contact opnemen :)

Hoi Marcel, heb alles aangevinkt en opnieuw gerund. Hij heeft idd een aantal files gevonden waar de betreffende link in staat. Ik heb al de files gerestored naar de originele en nu vindt WordFence geen problemen meer. Het probleem blijft echter, nog steeds verwijzing naar de betreffende url.

Erik, core is up to date (4.4.2 NL), alle plugins en themes zijn up to date.

Theme dat ik gebruik is Fashstore (waarvoor ook het hoofdthema accespress is geinstalleerd)
Plugins :
- akismet
- huge it lightbox
- jetpack
- P3
- woocommerce
- wordfence
- Wp all import
- yoast SEO

That's it
Peter

Snap dat alles bijgewerkt is maar je weet niet waar het geïnfecteerd is, bestanden kunnen geplaatst worden zonder dat je dit ziet.
Vandaar de tip om de core even te vernieuwen met een verse download dan hoef je de core niet uit te pluizen op eventuele bestanden.

Overige mappen in de /wp-content is wel aangeraden om na te kijken, wellicht iemand met verstand die je bijstaat tijdens controle.

Origineel gepost door Peter Martens

Het probleem blijft echter, nog steeds verwijzing naar de betreffende url.

Ook in een incognitovenster? Cache van een caching plugin gewist? Ik raad je overigens aan de Falcon caching engine van WordFence zelf te gebruiken, die is echt heel snel.

Gebruik je Filezilla? Scan je PC dan eens met Malwarebytes.

Problemen zie ik nog in Firefox, in Explorer heb ik geen probleem.
Wat bedoel je met caching plugin wissen ? Ergens in Wordpress ?
Sorry voor de misschien simpele vraag, maar ik ben totaal nieuw in Wordpress ...
Erik, de core heb ik daarnet vernieuwd (met core bedoel je toch de Wordpress installatie hé ?)

@Peter Martens
De core is de root en "wp-admin" & "wp-includes" de wp-content map zou je nog kunnen laten nakijken door iemand met PHP kennis.
Ik denk zelf dat ze een bestand hebben gedropt en die in de wp_footer() of wp_header() functie hebben geïnjecteerd.

Je mag eventueel een pm sturen met een link dit zie je vrij snel namelijk.

Wis dan de cache van FireFox eens, of open je site in een privevenster (hamburger icoontje rechts bovenin en dan nieuw privevenster). Waarschijnlijk haalt FireFox nog een oud (lees geinfecteerd) bestand uit de cache. Als dat niet werkt, probeer JetPack eens te deactiveren.

Met een caching plugin bedoel ik inderdaad een plugin ergens in WordPress, maar die heb je wellicht niet. Lees dit artikel even, daarin beschrijf ik hoe je de caching module van WordFence gebruikt. Daar staan ook de stappen in die je moet volgen als je site geïnfecteerd is.

Haal je website eens door de gratis WordPress malware scanner van Sucuri.

Het updaten van je plugins zorgt er alleen voor dat sommige bestandjes bijgewerkt worden, als er een hack script / backdoor in zit blijft die staan.
Het verwijderen en her-uploaden van de plugins met FTP geeft meer garantie.

Tevens mist de Free versie van WordFence nogal veel bestanden die hij niet kan scannen, denk aan betaalde premium themes en plugins.

Doorlinken gebeurt ook vaak via de Htaccess, dit is een serverbestand waar ze code in zetten zodat iedere bezoeker direct doorgaat naar een andere website. (kijk deze dus ook na!)

En ze schrijven die code ook wel eens met cookie waardoor de redirect maar 1x voorkomt. Denk dan niet dat die weg is maar gebruik dan eens de incognito modus.

Uitgebreide beschrijving voor het oplossen van een hack vind je ook hier: Gehackte WordPress website; zo los je het op

Deze is heel goed voor dit soort problemen: https://github.com/emposha/PHP-Shell-Detector

Heeft bij mij alle besmette bestanden op de webserver gevonden. Daarna de MySQL-databases met de hand doorlopen. Sinds dien nooit meer last van malware gehad.

Ik heb een plugin laten ontwikkelen die de verborgen iframe en de eval codes toont in al je bestanden.
De plugin toont in welk bestand het zit, en welke lijn.

Ik weet dat het klinkt als reclame, en dat is niet de bedoeling dus PM me even dan stuur ik hem gratis op. Ik gebruik deze plugin ook voor het vinden van malware.

Naast deze plugin gebruik ik ook de sucuri scanner die ik eerder aangaf.

http://www.wpbeveiligen.nl/plugins