Is mijn website gehackt? Hoe je een hack ontdekt en wat je ertegen doet
Ga direct naar
Je website staat online, alles lijkt te werken en je krijgt geen foutmeldingen. Totdat je merkt dat je site ineens naar een andere pagina verwijst. Of je ziet in Google zoekresultaten die niet bij je website passen. Soms is het je hostingpartij die aan de bel trekt omdat er verdachte bestanden zijn gevonden.
Op dat moment is er meestal al iets gebeurd. Een hack ontstaat zelden in één keer. Vaak begint het klein en wordt de impact pas later zichtbaar.
Wat gebeurt er eigenlijk als je website wordt gehackt? En wat kun je doen als je dit merkt?
Een hack begint vaak zonder duidelijke symptomen
Bij een hack krijgt iemand ongewenst toegang tot je website. Dat kan via een account, maar ook via een kwetsbaarheid in de software van je site. Zodra die toegang er is, kan er van alles worden aangepast zonder dat je het meteen ziet.
Vaak blijft je website gewoon online. De homepage werkt, pagina’s laden en je kunt nog inloggen. Juist dat maakt een hack lastig te herkennen. De veranderingen zitten vaak onder de oppervlakte.
Een aanvaller kan bijvoorbeeld nieuwe bestanden plaatsen, bestaande code aanpassen of extra gebruikersaccounts aanmaken. Daarmee ontstaat ruimte om je website te gebruiken voor andere doelen.
Wat er met een gehackte website gebeurt
Een gehackte website wordt vaak ingezet als hulpmiddel. Zo kunnen er extra pagina’s worden toegevoegd die niet zichtbaar zijn in je menu. Denk aan pagina’s over crypto, gokken of medicijnen. Ze zijn bedoeld om via zoekmachines verkeer aan te trekken. Bezoekers die daarop klikken, worden vervolgens doorgestuurd naar een andere site.
Ook zie je regelmatig dat bezoekers anders worden behandeld dan jij als beheerder. Iemand op mobiel krijgt bijvoorbeeld een andere pagina te zien, terwijl jij gewoon je eigen site ziet. Soms gebeurt dat alleen bij nieuwe bezoekers of via specifieke links.
Een andere vorm is het onderscheppen van gegevens. Formulieren blijven werken, maar de ingevoerde informatie wordt ongemerkt doorgestuurd. Voor bezoekers is dat niet zichtbaar.
Daarnaast kan een website worden gebruikt om schadelijke code te verspreiden. Bezoekers krijgen dan bijvoorbeeld een pop-up of een automatische download. In sommige gevallen wordt je site onderdeel van een netwerk dat spam verstuurt of andere systemen benadert.
Hoe aanvallers meestal binnenkomen
De meeste aanvallen worden uitgevoerd door scripts die continu het internet scannen. Die scripts zoeken naar bekende kwetsbaarheden, zoals verouderde plugins, oude CMS-versies of zwakke wachtwoorden.
Zodra zo’n script een ingang vindt, wordt er een eerste stukje code geplaatst. Dat geeft toegang. Van daaruit kunnen extra bestanden worden toegevoegd of instellingen worden aangepast.
Veel websites gebruiken dezelfde software en vergelijkbare uitbreidingen. Daardoor kan een kwetsbaarheid op grote schaal worden misbruikt. Een aanval die op één site werkt, werkt vaak ook op honderden of duizenden andere sites.
Dit gebeurt automatisch en zonder dat je specifiek bent uitgekozen.
Signalen dat er iets mis kan zijn
Soms is het direct duidelijk. Een bezoeker meldt dat hij op een andere website terechtkomt. Of een browser geeft een waarschuwing dat je site mogelijk onveilig is.
Maar vaak zijn de signalen subtieler. Je website wordt trager dan normaal. In Google verschijnen pagina’s die je niet herkent. Of je ziet bestanden op de server die je zelf niet hebt geplaatst.
Ook kan het gebeuren dat je niet meer kunt inloggen, of dat er nieuwe gebruikersaccounts zijn toegevoegd. In andere gevallen lijkt alles normaal, terwijl bezoekers toch problemen ervaren. Ze zien bijvoorbeeld pop-ups, worden doorgestuurd of krijgen een andere versie van je site te zien.
Omdat jij als beheerder vaak een andere weergave krijgt dan bezoekers, kan een hack lang onopgemerkt blijven.
Wat er technisch verandert bij een hack
Wanneer een website wordt gehackt, blijven de aanpassingen zelden beperkt tot één plek. Vaak worden er meerdere bestanden toegevoegd. Sommige voeren taken uit, andere zorgen dat de toegang blijft bestaan.
Die extra toegangspunten worden meestal verstopt. Bijvoorbeeld in bestaande bestanden of in mappen die niet snel opvallen. Daardoor kan een aanvaller later opnieuw binnenkomen.
Ook bestaande code wordt aangepast. Denk aan bestanden die op elke pagina worden geladen. Door daar extra regels aan toe te voegen, kan een script automatisch worden uitgevoerd.
Soms worden ook databasegegevens gewijzigd. Er kunnen nieuwe beheerders worden toegevoegd of instellingen worden aangepast. Dat maakt het herstellen ingewikkelder, omdat de wijzigingen verspreid zitten.
De impact is vaak groter dan alleen je website
Voor bezoekers verandert vooral het vertrouwen. Ze worden doorgestuurd, krijgen waarschuwingen of zien onverwachte downloads. Dat is vaak genoeg om de site te verlaten.
Voor jou als beheerder kan de impact groter zijn. Je verliest verkeer, aanvragen of bestellingen blijven uit en je moet tijd investeren in het onderzoeken en oplossen van het probleem. Daarnaast kan je reputatie schade oplopen, zeker als bezoekers een waarschuwing krijgen.
Zoekmachines kunnen je site tijdelijk lager tonen of blokkeren. Ook e-mail vanaf je domein kan minder betrouwbaar worden gevonden. Als er gegevens zijn buitgemaakt, kan er bovendien sprake zijn van een datalek.
Zelfs na herstel kunnen er nog gevolgen zijn. Bijvoorbeeld als niet alle aanpassingen zijn verwijderd en de hack later opnieuw actief wordt.
Wat je het beste kunt doen als je bent gehackt
Als je vermoedt dat je website is gehackt, is het verstandig om eerst verdere schade te voorkomen. Door je site tijdelijk offline te zetten of een onderhoudspagina te tonen, voorkom je dat bezoekers problemen ervaren.
Neem daarna contact op met je hostingpartij. Die kan vaak meekijken naar verdachte activiteiten of bestanden en helpen bij het bepalen van de oorzaak.
Maak ook een kopie van de huidige situatie. Dat helpt om te analyseren wat er is veranderd. Daarna kun je beginnen met het opschonen. Dat betekent dat je niet alleen zichtbare wijzigingen verwijdert, maar ook controleert op extra bestanden, gebruikers en scripts.
Vaak is het verstandig om een schone back-up terug te zetten en daarna alle software te updaten. Vergeet niet om wachtwoorden te wijzigen van je CMS, hostingaccount en database. Zo voorkom je dat bestaande toegang blijft werken.
Controleer tot slot of er geen verborgen toegangspunten zijn achtergebleven. Dat is belangrijk om te voorkomen dat de hack terugkomt.
Hoe je herhaling voorkomt
Na het herstellen van je website is het verstandig om te kijken hoe de hack kon ontstaan. In veel gevallen ligt dat aan verouderde software of onvoldoende beveiligde toegang.
Door updates regelmatig uit te voeren, verklein je de kans dat bekende kwetsbaarheden worden misbruikt. Sterke wachtwoorden en tweestapsverificatie maken het moeilijker om accounts over te nemen.
Ook helpt het om kritisch te kijken naar plugins en uitbreidingen. Hoe minder onderdelen, hoe kleiner het risico. Verwijder wat je niet gebruikt en houd de rest actueel.
Back-ups spelen een belangrijke rol. Als je snel kunt terugzetten naar een schone versie, verklein je de impact van een hack. Monitoring kan daarnaast helpen om verdachte wijzigingen sneller te signaleren.
Werk je met een hostingpartij als TransIP, dan kun je gebruikmaken van functies zoals automatische back-ups en snapshots. Daarmee kun je wijzigingen sneller terugdraaien en beter zien wat er op je website gebeurt.
Voorkomen is vooral: bijhouden en controleren
Een hack is nooit volledig uit te sluiten. Wel kun je het risico beperken en sneller herstellen als er iets gebeurt. Door je website bij te houden, toegang goed te beveiligen en back-ups te maken, sta je al een stuk sterker.
Mocht er toch iets misgaan, dan helpt het als je snel kunt terugkeren naar een werkende situatie en kunt controleren wat er is veranderd. Dat maakt het verschil tussen kort herstel en langdurige problemen.
Bedankt voor het toelichten!