Wat te doen bij site gehacked

De website is gehacked en dat is vervelend, de site is niet meer bereikbaar voor klanten en bezoekers, en het liefst wil je natuurlijk zo snel mogelijk online.

Het eerste advies wat we geven is geef jezelf 24 uur de tijd om de site op de rails te krijgen en neem meer tijd als dat nodig is. Natuurlijk komt het voor dat de oorzaak van een hack snel achterhaald is. Het is echter lastig helemaal zeker te zijn dat:

• dit het enige lek is;
• er geen backdoors geplaatst zijn.

Vandaar dat je het beste de tijd kan nemen om dit voorval goed te herstellen zodat je in ieder geval even veilig bent.

Beveiliging website

Allereerst is het belangrijk dat de hacker volledig buiten gesloten wordt, zodra wij er achter komen dat een site gehacked is zullen we de webomgeving van de site van een wachtwoord voorzien. De hacker heeft dan in principe nog steeds toegang tot de database, FTP (hoofdgebruiker en losse gebruikers), SSH en email (mocht hij het wachtwoord weten of in bezit zijn van een SSH-key). Of het zin heeft al deze wachtwoorden aan te passen is afhankelijk van de aard van de hack maar het kan nooit kwaad. Wijzig dus alle wachtwoorden en verwijder de SSH-keys, mochten wij de webomgeving nog niet vergrendeld hebben (je bent er zelf achter gekomen/bij een andere host ondergebracht) doe dit dan, redirect alle bezoekers met behulp van de .htaccess file naar een simpele pagina waarop staat dat jullie weer snel bereikbaar zijn. Mocht de webomgeving niet dichtgegooid zijn dan kan een hacker zijn activiteiten mogelijk voortzetten met behulp van een webshell (in de meeste gevallen het eerste wat een hacker aan een site toevoegt).

Communicatie

Zodra zeker is dat jullie de enige technisch beheerders op de site zijn, is het belangrijk klanten op de hoogte te brengen van de hack. Het is natuurlijk altijd vervelend om toe te geven dat er een fout gemaakt is maar mogelijk zijn door deze hack klantgegevens en passwords/password hashes uitgelekt, het is wel zo beleefd ze hiervan op de hoogte te stellen. Op het moment dat iemand geen sterk wachtwoord heeft, is deze in de meeste gevallen vrij eenvoudig te achterhalen (met toegang tot de site en database), deze klanten willen graag weten dat ze er goed aan zouden doen hun wachtwoorden te wijzigen.

Grote en kleine bedrijven worden gehackt en geen van hen had dit gepland, het grote verschil wat je hierin kan maken is hoe je het hersteld en hoe de communicatie naar klanten verloopt. U weet nog hoe dat gehackte bedrijf heet wat voor de overheid SSL-certificaten verstrekte, of het grote Japanse games-netwerk wat halverwege 2011 enige tijd onbereikbaar was, dit zijn opvallende zaken omdat zij punten hebben laten liggen in het herstel en de communicatie. Vandaar dat we aanraden, ondanks dat de site snel weer online moet, hier goed zorg voor te dragen.

Opname schade

Het kan zijn dat jouw site gehacked is nadat de laatste backup gemaakt is, als je dan als een haas gaat updaten en herstellen, is het naderhand vaak moeilijk om de daadwerkelijke oorzaak van een hack te vinden. Zorg dus dat je in ieder geval een backup van de huidige situatie hebt zodat je altijd naderhand kunt checken of die ene hack waarvan je vermoed dat het de oorzaak geweest is, wel echt mogelijk is.

Herstel website

Als je de oorzaak van de hack gevonden hebt kan het lek gedicht worden. Hier hebben we al een goede handleiding voor geschreven. Belangrijk is dat alle punten van deze lijst op de letter nauwkeurig opgevolgd worden. Als je een stap overslaat in dit proces zijn de volgende stappen meestal overbodig omdat de beveiliging onvoldoende is gegarandeerd. Mochten wij uit voorzorg de website hebben uitgeschakeld, dan kunnen we ook pas kijken of de site ingeschakeld kan worden als al deze punten doorlopen zijn.

Communicatie

Communiceer met de klanten, ook na het herstel willen ze vast graag weten dat jullie weer alive & kicking zijn, en veiliger dan ooit tevoren.