Pirat-Jonas hörde av sig i går och yrade något om att min blogg var hackad. Jag stod mitt i middags-förberedelserna, så jag hade inte tid att mer än kolla på sidan via min nya Nexus 7, och mycket riktigt. Något stod inte rätt till.
När vi var klara för kvällen med middag och nattning av barn så satte jag mig en stund och tittade på problemet. Bloggens stilmall verkade helt trasig och varje försök att följa en länk till ett inlägg eller till administrationsinloggningen slutade med att min browser blev redirectad till någon obskyr sajt med en helt blank sida.
Min erfarenhet av att felsöka webbaserade publiceringssystem är något begränsad och jag tog fram stora kanonen direkt: Blås på en filbackup från tidigare i veckan och byt lösenord till en kortare roman! Det verkade lösa problemet. Glad i hågen gick jag och la mig.
I morse så såg det lika illa ut. DOH!
Ok. Fokusera nu. Något ligger latent i min WordPress-installation och hackar sajten på kommando. Självklart så hade skräpet hängt med i dom dagliga backupperna, så vad jag gjorde när jag läste tillbaks backuppen var att återställa det som hacket haft sönder. Den skadliga koden däremot låg kvar och väntade på att köras igen.
Efter lite eftersökningar hittade jag en diskussion på WordPress.org som matchade mitt problem. Antagligen hade jag ett tema eller ett plugin med ett säkerhetshål. Det är egentligen inte bloggen som hackas, utan en enda fil, nämligen .htaccess. Man kan göra mycket roligt med .htaccess, och WordPress använder den bland annat till att göra permalänksinställningar.
Vad som hände är troligtvis detta: Någon listade ut att just min WordPress-installation var hackningsbar, och körde nån slags injectionattack mot en php-fil med ett säkerhetshål. Den filen i sin tur gjorde ändringar i min .htaccess-fil. Ändringarna gjorde att bloggen såg ut som skit och att varje försök att ta sig nånstans resulterade i en redirect till en annan sajt.
Jag bekräftade att .htaccess-filen blivit ändrad i. Denna gång spolade jag hela WordPress-installationen. Alla filer åkte i /dev/null. Nytt installationsarkiv hämtades från WordPress.org. Det enda som blev kvar från backuppen var wp-config.php och uploads-foldern som jag noggrant gick igenom innan jag laddade upp den igen. Inget annat än bildfiler fick följa med. Som tur var så har jag nyligen bytt tema, och inte hunnit modifiera det så mycket, så det var inga stora problem efter storstädningen. Jag fixade en standard .htaccess-fil och ställde in hur mina permalänkar skulle se ut.
För att vara på säkra sidan så installerade jag två plugins, BulletProof Security och Wordfence Security. Kort kan man säga att BP Security gör ändringar i din .htaccess-fil för att härda din WordPress-installation. Wordfence Security jämför filerna i din installation med filerna hos WordPress.org. Jag lät Sucuri.net testa min blogg och den passerade.
Nu återstår bara jobbet med att installera övriga plugins jag använder och försöka lista ut om det var nåt av dom eller ett av de teman jag hade installerat som hade ett säkerhetshål.
…