WordPress driver över 40 % av webben, vilket gör plattformen till ett av de mest attackerade målen som finns. WordPress-malware är skadlig kod som injiceras i dina filer eller din databas — oftast för att kapa trafik, skicka spam, stjäla data eller gömma bakdörrar för framtida attacker. Det värsta är att den ofta arbetar tyst i månader innan du märker något, och när du väl gör det har den redan hunnit sprida sig.
Varför WordPress är ett så vanligt mål
Det handlar inte om att WordPress är osäkert i sig — kärnan är välbyggd och snabbt patchad. Problemet är ekosystemet runt omkring: tiotusentals teman och plugins av väldigt olika kvalitet, byggda av lika många olika utvecklare. Angripare skriver automatiserade robotar som skannar hela internet efter en enda känd sårbarhet i ett populärt plugin, och slår sedan till mot varenda sajt som kör det. Din sajt behöver inte vara intressant — den behöver bara vara sårbar.
Hur skadlig kod tar sig in
Nästan all WordPress-malware kommer in genom en handfull vägar. Att känna till dem är halva skyddet, eftersom nästan alla går att täppa till.
- Sårbara plugins & teman — den överlägset vanligaste ingången. En opatchad sårbarhet i ett enda plugin räcker.
- Föråldrad WordPress-core — kända säkerhetshål som redan har en fix du inte installerat.
- Svaga eller återanvända lösenord — brute force mot /wp-login.php pågår dygnet runt, automatiskt.
- Nulled (piratkopierade) teman/plugins — skadlig kod medföljer på köpet, med flit.
- En hackad granne på delad hosting — på en dåligt isolerad server kan en infektion hoppa mellan sajter.
Vad skadlig kod faktiskt gör
”Hackad” betyder olika saker beroende på vad angriparen är ute efter. Ofta är målet pengar på det ena eller andra sättet: att kapa din sökranking för att sälja skräp, att omdirigera dina besökare till bluffsajter, att skicka spam från din server, eller att bryta kryptovaluta med din serverkraft. Nästan alltid lämnar de också en eller flera bakdörrar — dold kod som låter dem komma tillbaka även efter att du trott att du städat. Det är därför en halvhjärtad sanering nästan aldrig håller.
Så utvecklas en infektion över tid
En typisk infektion börjar tyst. Angriparen tar sig in, placerar en bakdörr och gör först ingenting synligt — för att inte bli upptäckt. Först senare läggs det ”lönsamma” på: spam-sidor, redirects, injicerade länkar. Vid det laget kan koden finnas i dussintals filer och i databasen samtidigt. Ju längre den får vara kvar, desto djupare gräver den sig in, och desto större är risken att även dina äldre backuper är smittade. Tid är alltså inte på din sida — en infektion som kunde saneras på en timme kan bli ett dagsprojekt om du väntar en vecka.
Tidiga tecken på en infektion
Skadlig kod är byggd för att synas så lite som möjligt. Men den lämnar spår: oväntade omdirigeringar (ofta bara för mobilbesökare eller besökare från Google), okända admin-konton, filer med konstiga namn i wp-content, plötslig långsamhet, spam-mejl som skickas från din domän, eller en varning från Google eller din värd. Ser du något av det — behandla det som en incident, inte en tillfällighet. Ett enda tecken räcker för att motivera en ordentlig genomsökning.
Malware som inte syns är inte malware som inte finns. Den väntar bara på rätt tillfälle.
— Kepler Security Scan
Vad du gör åt det
Misstänker du att din sajt redan är infekterad? Vänta inte — varje dag den är live sprider sig skadan och Google-rankingen riskerar att ta stryk. Vi kan sanera en hackad WordPress-sajt idag, oavsett vem som hostar dig: vi migrerar sajten till en isolerad miljö, kör en full skanning av filer, databas och kärnfiler med backup innan varje ändring, och lämnar en tydlig rapport över vad som hittades och hur det kom in.
Och för att slippa problemet framåt kör vi Managed WordPress-hosting med bevakade uppdateringar, force SSL, daglig backup och isolering per sajt — säkerhet som en del av plattformen, inte ett plugin du hoppas fungerar. Det billigaste sättet att hantera malware är att stänga dörren innan den kommer in.