Gå til hovedindhold
MAHOJE

Skjult bagdør i WordPress-side opdaget efter flere år

En virksomheds hjemmeside havde en avanceret bagdør skjult i et WPCode-snippet i flere år. Malwaren kunne oprette admin-brugere, redirecte organisk trafik til spam-sider og gemte sig aktivt fra WordPress-dashboardet. Siden kørte WordPress 6.0.2 uden opdateringer. Fundet, renset og sikret på under 2 timer.

WordPress
Malware
Bagdør
SEO-spam

Branche

Erhverv

Ydelser

  • Sikkerhed
  • Malware-fjernelse
  • Hardening
  • Backup

Periode

2 timer

Problem

Kunden kontaktede mig fordi deres WordPress-side opførte sig mærkeligt. Ved kodeanalyse fandt jeg en avanceret bagdør gemt i et WPCode-snippet. Siden kørte WordPress 6.0.2, og hverken Core eller plugins var opdateret i lang tid. Bagdøren havde tre funktioner: (1) Fjernoprettelse af admin-brugere via base64-encodede cookies — helt usynligt i serverlogfiler. (2) SEO-spam/redirect-angreb: Ikke-indloggede besøgende og Google-bots blev sendt videre til spam- og phishing-sider via en ekstern server, med IP-throttling (1 gang per 24 timer per IP) så det var næsten umuligt at opdage manuelt. (3) Selvskjulning: Malwaren skjulte WPCode-pluginet fra plugin-listen, blokerede opdateringsnotifikationer og deaktiverede alle cache-plugins (SiteGround, WP Rocket, W3TC, LiteSpeed, Autoptimize) for at sikre at den ondsindede output altid blev serveret live.

Baseline (før)

WordPress Core

Før: 6.0.2 (forældet)
Efter: Seneste version

Bagdørs-adgang

Før: Aktiv (skjult admin-oprettelse)
Efter: Fjernet og blokeret

SEO-redirects

Før: Organisk trafik sendt til spam
Efter: 0 — al trafik ren

Skjulte plugins

Før: WPCode skjult fra dashboard
Efter: Fuld synlighed gendannet

Handlinger

  • Komplet backup af hele siden (filer + database) som sikkerhedsnet inden ændringer.
  • Kodeanalyse af det ondsindede snippet — identificerede bagdør, SEO-redirect og selvskjulning.
  • Fjernelse af al malware-kode fra WPCode-snippets og wp_options (redirect-URLs og domæner).
  • Audit af wp_users for uautoriserede admin-konti oprettet via bagdøren.
  • Opdatering af WordPress Core fra 6.0.2 til seneste version, samt alle plugins og temaer.
  • Fjernelse af ubrugte og sårbare plugins, herunder det kompromitterede WPCode-snippet.
  • Hardening: Nye adgangskoder for alle brugere, nye sikkerhedsnøgler (salts), begrænset login-forsøg, firewall-regler og skærpede filrettigheder.
  • Opsætning af automatisk backup, malware-scanning og monitorering af filopdateringer.

Resultater

  • Siden var fuldstændig renset og funktionel på under 2 timer.
  • Bagdøren fjernet — ingen mulighed for fjernoprettelse af admin-brugere.
  • SEO-trafik går nu til den rigtige side — ikke spam/phishing-sider.
  • Alle cache-plugins fungerer igen efter malwaren systematisk havde deaktiveret dem.
  • Automatisk monitorering sat op, så lignende angreb fanges med det samme.

Det lærte vi

  • Avanceret malware skjuler sig aktivt: Denne bagdør gemte sit eget plugin fra dashboardet og blokerede opdateringer — så ejeren aldrig ville opdage den.
  • IP-throttling gør malware næsten usynlig: Redirects kun 1 gang per 24 timer per IP betyder, at manuelle tjek sjældent afslører problemet.
  • Forældede WordPress-installationer er en åben dør: Spring fra 6.0.2 til seneste version lukkede adskillige kendte sårbarheder.
  • Cache-deaktivering er et rødt flag: Hvis alle cache-plugins pludselig ikke virker, bør man undersøge om malware aktivt blokerer dem.

Klar til en hjemmeside der virker?

Book 15 min, så finder vi ud af hvad der giver mest værdi for dig.

Se website-tjek
Se website-tjek