WordPress

Hitta dolda admin-konton och bakdörrar i WordPress

Den farligaste delen av en hack är inte den du ser — det är bakdörren som släpper in angriparen igen. Så jagar du dem.

Du kan ta bort all synlig skadlig kod och ändå vara hackad. Anledningen heter bakdörr — en dold kodsnutt eller ett hemligt konto som låter angriparen komma in igen när som helst. Att hitta dem är det som skiljer en riktig sanering från en tillfällig lösning som håller i några dagar.

Dolda admin-konton

Ett vanligt trick är att skapa en till administratör — ofta med ett trovärdigt namn som ”support” eller ”admin2”, eller helt dolt så det inte syns i användarlistan. Kontrollera antalet administratörer direkt i databasen (wp_users kopplat till wp_usermeta där wp_capabilities innehåller ”administrator”), inte bara i wp-admin, eftersom listan i gränssnittet kan vara manipulerad. Leta också efter konton med registreringsdatum som inte stämmer med din historik.

Bakdörrar i filer

  • Obfuskerad kod som eval(base64_decode(...)), gzinflate eller str_rot13.
  • PHP-filer i uploads-mappen eller andra platser där det aldrig ska finnas körbar kod.
  • Kärnfiler med ändrad tidsstämpel eller storlek jämfört med originalet.
  • Kod som anropar externa URL:er, kör systemkommandon (shell_exec, system) eller läser in fjärrinnehåll.
  • Filer med oskyldiga namn (wp-cache-old.php, wp-conf.php) som inte hör till en standardinstallation.

Bakdörrar i databasen och i schemalagda jobb

Bakdörrar bor inte bara i filer. En angripare kan lägga in ett schemalagt WP-Cron-jobb som återinstallerar skadlig kod, eller injicera kod i en option som läses in på varje sidladdning. Därför måste en genomsökning täcka både filsystem och databas — och gärna WP-Cron-listan — för att vara komplett.

Varför det är så svårt att vara säker

Bakdörrar göms med flit på ställen du inte tänker på, och en enda missad räcker för att hela saneringen ska rinna ut i sanden. En vanlig fälla är att sanera det synliga, tro sig klar, och bli återinfekterad inom en vecka — via en bakdörr som legat kvar hela tiden. Det är därför professionell sanering utgår från en filjämförelse mot original-core plus en full databasgenomsökning, inte manuell letning fil för fil.

Ta hjälp innan de kommer tillbaka

Vår WordPress-sanering identifierar och tar bort bakdörrar och obehöriga konton, med backup innan varje ändring och en rapport över vad som hittades. Och med Managed WordPress-hosting kör vi sajten i en isolerad miljö där en komprometterad komponent inte kan nå resten — plus bevakade uppdateringar som stänger ingångarna bakdörrarna kom in genom.

Bygg på ett moln du faktiskt äger.

Ingen bindningstid. En körande VM innan du betalar en krona.