Draait je WordPress-sites op je server? Grote kans dat je dan wel eens gebruik gemaakt hebt van het SearchReplaceDB script van InterconnectIT. Heb je er dan ook aan gedacht om dat script weg te gooien nadat je klaar was? Zo niet, dan heb je waarschijnlijk een probleem.
De WordPress-vrienden bij WordFence hebben de afgelopen week een flinke piek gezien in aanvragen naar bestanden met de naam searchreplacedb2.php. Met dit script kunnen hackers namelijk zonder problemen in een database inloggen en rotzooi uithalen. In dit geval zoeken ze naar een link en voegen ze daar een eigen script aan toe, waardoor pagina’s geïjecteerd worden met een doorverwijzing naar malafide servers.
Ons shared hosting platform wordt al beschermd tegen deze aanvallen. Dit doen we door al onze servers (zowel Basic als Premium) te scannen op de aanwezigheid van een bestand met de naam searchreplacedb2 en, als we het vinden, dit bestand onbereikbaar te maken.
Voor onze klanten met een eigen server adviseren we om, als je gebruik maakt van WordPress of je klanten zelf de keuze geeft dit te gebruiken, de server op de aanwezigheid van dit bestand te controleren. Kom je het tegen bij een of meerdere van je websites, log dan in in die database (bijvoorbeeld via PHPmyAdmin) en zoek in de wp_posts tabel op LIKE %script% in de post_content kolom.
Kom je dan resultaten tegen en verwijzen deze naar traffictrade.life (of een andere onbekende URL), herstel de site dan naar een back-up of, wanneer je deze niet beschikbaar hebt, voer hetzelfde trucje uit als de hackers. Open het searchreplacedb2-script in je browser en vervang de gevonden script-injectie door niets.
Hulp nodig? Stuur een ticket in met je vraag. Onze techneuten helpen u graag. Houd er wel rekening mee dat hiervoor een tarief voor gerekend kan worden.
Dit artikel is geplaatst op 31 juli 2017. Het kost je ongeveer 1 minuten om het te lezen.