Att skanna en WordPress-sajt efter skadlig kod är inte en enda åtgärd utan flera lager. Ju fler av dem du täcker, desto större chans att du hittar allt — inte bara det uppenbara. Här är de fyra lagren som tillsammans ger en heltäckande bild.
1. Jämför mot original-core
WordPress core, teman och de flesta plugins finns i kända, oförändrade versioner. Genom att jämföra varje fil mot originalet från wordpress.org syns injicerad kod direkt — en ändrad kärnfil är nästan alltid ett rött flagg. Den här metoden fångar det signaturbaserade skannrar missar, eftersom den letar efter skillnad, inte efter en känd signatur. Lägg särskild vikt vid PHP-filer i uploads-mappen, där kod aldrig ska finnas.
2. Genomsök databasen
Mycket malware gömmer sig inte i filer utan i databasen — injicerade skript i inlägg och widgets, dolda admin-konton, eller manipulerade rader i wp_options (till exempel förändrad siteurl eller schemalagda jobb). En filscan ensam missar detta helt. Sök efter misstänkta mönster som <script>, base64_decode och externa URL:er i innehållstabellerna.
3. Leta efter mönster, inte bara signaturer
Signaturbaserade plugins känner igen känd malware men missar nya varianter. Starkare signaler är obfuskerad kod (base64, eval, gzinflate, str_rot13), filer med tidsstämplar som inte stämmer med resten, ovanligt stora eller små filer, och kod på platser där det inte hör hemma. Det är den här typen av avvikelser, snarare än en signaturträff, som avslöjar skräddarsydda attacker.
4. Läs loggarna
Access- och error-loggar berättar hur och när något hände: upprepade POST-anrop mot en okänd fil, trafik till /wp-login.php från hundratals IP-adresser, eller 500-fel från en fil du inte känner igen. Loggarna hjälper dig hitta ingången — och att bekräfta att den är stängd efter saneringen.
En skanning är bara så bra som de lager den täcker — filer, databas, mönster och loggar, inte bara en signaturlista.
— Kepler Security Scan
När det är dags att ta in hjälp
Om skanningen hittar något — eller om du inte är säker på att den skulle göra det — låt någon gå in på djupet. Kepler Security Scan kombinerar filjämförelse, databasgenomsökning, mönsteranalys och loggar, och migrerar sajten till en isolerad miljö för sanering med backup innan varje ändring. Och på Managed WordPress-hosting körs skanning och backup som en del av driften, inte något du måste komma ihåg själv.