Du kan ta bort all synlig skadlig kod och ändå vara hackad. Anledningen heter bakdörr — en dold kodsnutt eller ett hemligt konto som låter angriparen komma in igen när som helst. Att hitta dem är det som skiljer en riktig sanering från en tillfällig lösning som håller i några dagar.
Dolda admin-konton
Ett vanligt trick är att skapa en till administratör — ofta med ett trovärdigt namn som ”support” eller ”admin2”, eller helt dolt så det inte syns i användarlistan. Kontrollera antalet administratörer direkt i databasen (wp_users kopplat till wp_usermeta där wp_capabilities innehåller ”administrator”), inte bara i wp-admin, eftersom listan i gränssnittet kan vara manipulerad. Leta också efter konton med registreringsdatum som inte stämmer med din historik.
Bakdörrar i filer
- Obfuskerad kod som
eval(base64_decode(...)),gzinflateellerstr_rot13. - PHP-filer i uploads-mappen eller andra platser där det aldrig ska finnas körbar kod.
- Kärnfiler med ändrad tidsstämpel eller storlek jämfört med originalet.
- Kod som anropar externa URL:er, kör systemkommandon (
shell_exec,system) eller läser in fjärrinnehåll. - Filer med oskyldiga namn (wp-cache-old.php, wp-conf.php) som inte hör till en standardinstallation.
Bakdörrar i databasen och i schemalagda jobb
Bakdörrar bor inte bara i filer. En angripare kan lägga in ett schemalagt WP-Cron-jobb som återinstallerar skadlig kod, eller injicera kod i en option som läses in på varje sidladdning. Därför måste en genomsökning täcka både filsystem och databas — och gärna WP-Cron-listan — för att vara komplett.
Varför det är så svårt att vara säker
Bakdörrar göms med flit på ställen du inte tänker på, och en enda missad räcker för att hela saneringen ska rinna ut i sanden. En vanlig fälla är att sanera det synliga, tro sig klar, och bli återinfekterad inom en vecka — via en bakdörr som legat kvar hela tiden. Det är därför professionell sanering utgår från en filjämförelse mot original-core plus en full databasgenomsökning, inte manuell letning fil för fil.
Ta hjälp innan de kommer tillbaka
Vår WordPress-sanering identifierar och tar bort bakdörrar och obehöriga konton, med backup innan varje ändring och en rapport över vad som hittades. Och med Managed WordPress-hosting kör vi sajten i en isolerad miljö där en komprometterad komponent inte kan nå resten — plus bevakade uppdateringar som stänger ingångarna bakdörrarna kom in genom.