WordPress

Vanliga typer av WordPress-malware: bakdörrar, spam, redirects och kryptominers

Bakdörrar, spam-injektioner, omdirigeringar och kryptominers beter sig helt olika. Att förstå typen är första steget till att bli av med den.

”Hackad” är ett samlingsnamn för väldigt olika saker. En kryptominer stjäl din serverkraft; en spam-injektion kapar din SEO; en bakdörr släpper in angriparen igen. Att känna igen typen hjälper dig förstå både skadan, hur allvarligt det är, och vad saneringen kräver.

Bakdörrar (backdoors)

Den farligaste typen, eftersom den handlar om åtkomst snarare än en synlig effekt. En bakdörr är dold kod — ofta obfuskerad och gömd i en oskyldig fil — som låter angriparen komma in igen när som helst, även efter att du ”städat”. En enda missad bakdörr återinfekterar hela sajten inom dagar. Det är just därför en riktig sanering alltid börjar med att hitta ingången, inte bara det synliga symptomet.

Spam- och SEO-injektioner

Här utnyttjas din sajts trovärdighet i Googles ögon. Angriparen injicerar dolda länkar, hela spam-sidor eller nyckelord (ofta piller, casino, kopior) som rankar på din domäns auktoritet. Du ser sällan något själv — men Google gör det, och när flaggan kommer rasar din ranking. Den här typen är särskilt lömsk eftersom skadan är på din SEO, inte på sajtens funktion.

Skadliga omdirigeringar (redirects)

Koden skickar dina besökare vidare till en annan sajt — ofta bara på mobil, eller bara för besökare som kommer från en sökmotor, för att undvika upptäckt. Som inloggad administratör märker du sällan något. Det gör redirects till en av de svåraste typerna att upptäcka på egen hand, och en av de mest skadliga för förtroendet.

Kryptominers och phishing

En kryptominer kapar din serverkraft för att bryta kryptovaluta, vilket gör sajten långsam och drar upp resursanvändningen — ibland så mycket att värden stänger av dig. Phishing-kit lägger upp falska inloggningssidor (för banker, betaltjänster) på din server för att stjäla andras uppgifter. Båda gör din sajt till ett verktyg i någon annans brott — med ditt namn på.

Varför de ofta samexisterar

En infekterad sajt har sällan bara en typ. Angriparen börjar med en bakdörr och lägger sedan på det som tjänar pengar — spam, redirects, mining, phishing. Ofta säljs till och med åtkomsten vidare, så att flera olika aktörer utnyttjar samma sajt samtidigt. Därför räcker det inte att ta bort det du ser; du måste hitta ingången också, annars är sajten smittad igen inom dagar.

Det du ser är sällan hela infektionen. Bakdörren du inte ser är den som räknas.

— Kepler Security Scan

Rätt sanering tar hela kedjan

Vår WordPress-sanering genomsöker filer, databas och kärnfiler för att hitta varje del — inte bara det synliga symptomet — och lämnar en rapport över vad som hittades och hur det kom in. Vill du minska risken att det händer alls, kör Managed WordPress-hosting där bevakade uppdateringar och isolering per sajt täpper till ingångarna innan de utnyttjas.

Bygg på ett moln du faktiskt äger.

Ingen bindningstid. En körande VM innan du betalar en krona.