Er zijn elke minuut rond de 90,000 aanvallen op WorsPress sites.  Malware aanvallen zijn dus allesbehalve een grap.  Als je je cybersecurity niet op orde hebt, kan dit een risico vormen voor je site en je bedrijf.

Als je je zaken echter op orde hebt, zijn deze schadelijke activiteiten niet iets waar je bang voor hoeft te zijn.  WordPress scannen op malware kan je helpen om schadelijke content te identificeren en te elimineren wanneer je site is gecompromitteerd.  En gelukkig zijn ook veel manieren om potentiële toekomstige aanvallen op je website te voorkomen.

Dit artikel behandelt wat malware is en waarom het essentieel is om ernaar te zoeken tijdens het onderhoud van je website.  We leggen ook uit hoe je op malware kunt scannen en deze kan verwijderen wanneer je denkt dat je site gehacked is.

Laten we beginnen!

Wat is malware?

Malware staat voor “malicious software”  Het is een alomvattende term voor schadelijke software die hackers gebruiken om onbevoegde toegang te krijgen or schade aan te doen aan je WordPress website.  Het kan je site op veel manieren negatief beïnvloeden en vormt een ernstig veiligheidsrisico voor zowel jou als je websitebezoekers.

Als er malware aanwezig is op je website, zal je het meestal wel merken. Je zult dingen opmerken zoals:

Hoewel deze problemen meerdere oorzaken kunnen hebben, als je er een of meerdere van ziet, is het het waard om te onderzoeken of er mogelijke malware op je site terecht is gekomen.

Hoe malware wordt geïnstalleerd op WordPress sites

Malware kan op veel manieren geïnstalleerd worden op WordPress sites.  Meestal zal een hacker of bot misbruik maken van een beveiligingslek.

Als je bijvoorbeeld geen beveiligingsmaatregelen hebt genomen om herhaalde onjuiste inlogpogingen te voorkomen, of als je wachtwoord zwak is, kan een hacker toegang krijgen tot je site. Vervolgens kunnen ze de malware installeren via e en brute force attack. Dit is wanneer een bot honderden combinaties van gebruikersnamen en wachtwoorden op je inlogpagina doorloopt totdat ze de juiste hebben gevonden.

Verouderde plugins en thema’s zijn ook beveiligingslekken die hackers kunnen misbruiken. Botnetwerken zoeken via internet naar websites met deze lekken en gebruiken deze om malware te installeren.

Malware kan je website ook infiltreren via phishinglinks. Het kan gebeuren dat je per ongeluk op een phisinglink in een e-mail klikt of een gecompromitteerde website bezoekt.  Door dit te doen, kan je onbedoeld schadelijke software op je computer downloaden.  Deze kan dan zijn weg vinden naar je WordPress server.

Waarom het belangrijk is om WordPress te scannen op malware

Zoals we eerder zeiden, er zijn meestal tekenen dat er malware aanwezig is op je website.  Maar, dit is niet altijd het geval.  Soms kan het zo zijn dat je het niet door hebt dat je website is aangetast.

Gelukkig is er een eenvoudige manier om erachter te komen: een malwarescan uitvoeren. Regelmatig scannen op malware is erg belangrijk, vooral omdat 83 procent van de gehackte CMS gebaseerde sites is gebouwd op WordPress.

Als je niet regelmatig op malware scant, stel je jezelf bloot aan risico’s, zoals:

  • SEO straffen: Google weigert vaak gecompromitteerde websites. Dit kan ervoor zorgen dat je lager in de rangorde van zoekmachine (en organisch zoekverkeer) belandt.
  • Slechte websiteprestaties: Malware kan hackers in staat stellen je server resources te gebruiken om andere websites aan te vallen. Het omleiden van resources van jouw site kan leiden tot prestatieproblemen, zoals langzaam ladende pagina’s.
  • Geweigerd IP adres: Hackers kunnen ook malware gebruiken om spam e-mails te verzenden vanaf het IP adres van jouw website. Dit kan ertoe leiden dat uw IP adres wordt verwijderd door grote e-mailproviders.
  • Risico’s voor je websitebezoekers: Malware kan zelfs een veiligheidsrisico vormen voor je websitebezoekers. Het kan gevaarlijke popups op je site laden en malware doorgeven aan je gebruikers.

Naast het scannen van je website op malware, kun je ook proactief omgaan met beveiliging. Bekijk onze cheatsheet voor sitebeveiliging voor advies over hoe je je site kunt beveiligen tegen inbreuken.

Wanneer je WordPress op malware zou moeten scannen

Wacht niet tot je de waarschuwingstekens ziet om je WordPress website te scannen op malware.  Schadelijke code kan voor een lange tijd onopgemerkt blijven.  Het is daarom een goed idee om je website regelmatig te controlen, zelfs als er geen tekenen zijn dat er iets mis is.

We raden aan om je site minimaal eens per maand op malware te controleren.  Het beste is om een scan uit te voeren wanneer je wijzigingen aan je websitestructuur aanbrengt of wanneer je nieuwe plugins installeert.  Bovendien raden we aan te scannen als je een van de veelbetekenende signalen opmerkt die we eerder noemden.

Het is misschien handig om een regelmatige reminder in te stellen om je website op malware te scannen.  Je zou dit bijvoorbeeld op de eerste dag van elke maand kunnen doen om er een gewoonte van te maken.

De beste tools om WordPress te scannen op malware.

De makkelijkste manier om je WordPress site te scannen op malware is door een beveiligingsplugin te gebruiken.  Hier zijn wat tools die we je aanraden om een scan uit te voeren.

Wordfence

Wordfence is een van de makkelijkste plugins on te gebruiken voor het opsporen van malware.

Wordfence beveiligingsplugin.
Wordfence beveiligingsplugin.

Zodra je de pluging installeert, zal deze automatisch periodiek naar malware zoeken.  Als alternatief kun je handmatige scans uitvoeren als je het gevoel hebt dat er een beveiligingsissue op je site is.

Zodra de scans uitgevoerd zijn, zal WordFence ook acties aanbevelen die je kunt ondernemen om beveiligingsproblemen op te lossen. Het is beschikbaar in zowel een gratis als een betaalde versie.  We raden deze plugin ten zeerste aan, omdat hij gemakkelijk te gebruiken is. Bovendien is de gratis versie perfect voor het uitvoeren van simpele scans en het corrigeren van kleine malwareproblemen.

Sucuri

Sucuri is een andere uitstekende tool die basisfuncties voor scannen op malware biedt.

Sucuri beveiligingsplugin
Sucuri beveiligingsplugin

Met Sucuri SiteCheck kun je je site snel en eenvoudig scannen op problemen door de URL van je site in te voeren. Je kunt ook de scanfunctie gebruiken door de plugin te installeren op je WordPress site.

De gratis Sucuri plugin biedt ook e-mailwaarschuwingen over beveiligingsproblemen en firewallbescherming die schadelijke activiteiten op je website kunnen helpen voorkomen. Het is een goed gebouwde plugin met een uitstekende reputatie, en met name de betaalde pakketten bieden WordPress gebruikers uitgebreide bescherming tegen malware.

Als je een Kinsta klant bent en je wilt hier graag gebruik van maken, volg dan deze Sucuri insallatiehandleiding.

iThemes Security

Een andere goede optie is de iThemes Security plugin.

iThemes security plugin
iThemes Security plugin.

Deze plugin, voorheen bekend als Better WP Security, heeft meer dan 30 beveiligingsfuncties die je site kunnen beschermen tegen allerlei soorten aanvallen. Je kunt de gratis versie van iThemes gebruiken om standaard malwarescans uit te voeren en eventuele problemen te identificeren.

Aan de andere kant kun je de pro versie gebruiken om geplande malwarescans en e-mailupdates in te stellen. Dit maakt het uiterst gemakkelijk om op de hoogte te blijven van beveilingscontroles van je site.

Elk van deze tools kan je helpen om WordPress te scannen op malware. Voor dit artikel gaan we de Wordfence plugin gebruiken.

Als Kinsta je site host, is het vaak niet nodig om deze stappen te volgen. In plaats daarvan kun je vertrouwen op de Kinsta beveiligingsgarantie om je site te beveiligen.

WordPress scannen op malware in 4 eenvoudige stappen

Als je denkt dat je WordPress website is gehackt, kun je de onderstaande vier stappen volgen. We leggen uit hoe je je site en plugins kunt scannen op malware met Wordfence, en hoe je je site kunt beveiligen tegen toekomstige aanvallen.

Stap 1: Installeer de Wordfence beveiligingsplugin

Eerst gaan we de gratis versie van de Wordfence plugin installeren. Om dit te doen, log je in op je WordPress daskboard en ga je naar  Plugins > Add New. Zoek dan op Wordfence en klik op Install Now onder Wordfence Security – Firewall & Malware Scan:

Installeer de Wordfence Security plugin.
Installeer de Wordfence Security plugin.

Nadat de plugin is geïnstalleerd, klik je op Activate. Mogelijk ontvang je een melding om de gebruiksvoorwaarden te accepteren en je e-mailadres op te geven om de installatie te voltooien.

Stap 2: Maak een backup van je WordPress site

Voordat je verder gaat, raden we je aan om een back-up van je website te maken. In de volgende stap, ga je bestanden die mogelijk aangetast zijn door malware verwijderen

Als er iets misgaat, kan dit per ongeluk kritieke gegevens verwijderen en aanzienlijke websiteproblemen veroorzaken. Als je eerst een backup van je website maakt, kun je ernaar terugkeren als er iets onverwachts gebeurt.

Een van de makkelijkste manieren om een backup van je site te maken is door het gratis  UpdraftPlus plugin te installeren.

UpdraftPlus WordPress Backup plugin
UpdraftPlus WordPress Backup plugin.

Je kunt het installeren en activeren volgens hetzelfde proces als voor Wordfence. Ga vervolgens naar Settings > UpdraftPlus Backups en klik op Backup Now:

Zoek de knop
Zoek de knop “Backup Now”

Alles wat je nu hoeft te doen is wachten tot het proces is afgerond.  Als er iets misgaat in latere stappen, kan je de backupgegevens via dezelfde pagina terughalen.

Stap 3: Voer een scan uit en verwijder malwarebestanden

Het volgende dat je moet doen, is een malwarescan uitvoeren. Wordfence zou je site automatisch dagelijks moeten scannen, maar je kan ook handmatig het proces starten.

Om dit te doen, ga naar Wordfence > Scan  vanuit je WordPress dashboard. Klik dan op Start New Scan:

Start een nieuwe scan met gebruik van Wordfence.
Start een nieuwe scan met gebruik van Wordfence.

Wordfence begint je website te doorzoeken op malware, bestandswijzigingen en meer. Het kan even duren voordat dit proces klaar is.  Je kunt de voortgang volgen in de tijdlijn op het scanscherm.

Zodra de scan is voltooid, zie je een gedetailleerd overzicht van de resultaten.

Gedetailleerde resultaten van de malwarescan.
Gedetailleerde resultaten van de malwarescan.

Dit logboek geeft een lijst weer van alle gevonden beveiligingsproblemen. Het labelt ze als hoge, gemiddelde of lage prioriteit, afhankelijk van hoe ernstig ze zijn. Een resultaat met het label ‘unknown file in WordPress core’ geeft de mogelijke aanwezigheid van malware aan.

Gelukkig maakt Wordfence het gemakkelijk om die bestanden te verwijderen. Het enige dat je hoeft te doen is op Delete All Deletable Files boven het resultatenlogboek te klikken. Je zou dan het volgende waarschuwingsbericht moeten zien:

Delete all files waarschuwingsbericht.
Delete all files waarschuwingsbericht.

Zorg ervoor dat je dit waarschuwingsbericht zorgvuldig leest. Het is mogelijk dat de gedetecteerde bestanden geen malware waren en essentieel waren voor de goede werking van je website. Daarom hebben we in de vorige stap aangeraden om een ​​backup van je site te maken.

Als je er zeker van bent dat de gedetecterde bestanden schadelijke software zijn, kun je op Delete Files klikken. Hiermee zou alle malware van je website moeten worden verwijderd. Als dit poblemen oplevert, kan je de vorige versie van je website terughalen uit je backup.

Nadat de malware is afgehandeld, wilt je misschien ook andere problemen aanpakken die de scan heeft opgepikt. Je kunt bijvoorbeeld verouderde plugins aanpakken.

Stap 4: Neem maatregelen om je site volledig te beveiligen

Wanneer je de schadelijke bestanden hebt verwijderd, zijn er nog wat extra maatregelen die je wellicht zou willen nemen om je site volledig te beveiligen:

  • Verander je wachtwoorden: als je malware op je site hebt gehad, is er een grote kans dat je wachtwoorden ook gecompromitteerd zijn.  Daarom is het het beste om alle wachtwoorden op je website te wijzigen, en overal waar je ze online hebt gebruikt.
  • Stel twee-stapsauthenticatie (2FA) in: het instellen van 2FA op je website voegt een extra beveiligingslaag toe. Als je wachtwoorden zijn gecompromitteerd, komt de aanvaller alsnog niet verder zonder een extra controle uit te voeren.
  • Controleer gebruikersprofielen: Het is mogelijk dat de malware door een nieuwe gebruikersrol op je website is gecreëerd. Om dit aan te pakken kun je gebruikersprofielen controleren en uit je database verwijderen.
  • Implementeer regelmatige beveiligingscontroles: Je kunt de instellingen in Wordfence wijzigen zodat het regelmatig op malware controleert. Je moet ook verdere stappen ondernemen om je site te vergrendelen.
  • Maak opnieuw een backup van je site: zodra je de malware hebt verwijderd, maak je een nieuwe backup van je website. Op die manier kun je het altijd herstellen naar een schone, malwarevrije versie als er in de toekomst iets misgaat.

De bovenstaande stappen ondernemen lijkt veel werk, maar het is de moeite waard.  Ze helpen ervoor te zorgen dat je website in de toekomst vrij blijft van malware.

Samenvatting

Schadelijke software is een altijd aanwezige bedreiging voor WordPress gebruikers. Door er echter regelmatig op te scannen en een strikte sitebeveiligingsprocedure te volgen, is het eenvoudig om je site veilig en vrij van malware te houden.

Hier volgt een korte samenvatting van hoe je WordPress sites scant op malware en je site beveiligt tegen kwaadaardige activiteiten:

  1. Installeer de Wordfence beveiligingsplugin.
  2. Maak een backup van je WordPress site.
  3. Voer een scan uit en verwijder malwarebestanden.
  4. Neem maatregelen om je site grondig te beveiligen.

Heb je vragen over het scannen van je WordPress site op malware? Vraag het ons in de reacties hieronder!

Jeremy Holcombe Kinsta

Content & Marketing Editor bij Kinsta, WordPress Web Developer en Content Writer. Buiten alles wat met WordPress te maken heeft, geniet ik van het strand, golf en films. En verder heb ik last van alle problemen waar andere lange mensen ook tegenaan lopen ;).