Malware i WordPress gemmer sig godt. Det obfuskerer sin egen kode, genskaber slettede filer og skjuler sig for administratorer. Her er den komplette guide til at finde og fjerne det — grundigt.

Hvad er WordPress-malware egentlig?

Malware er et samlebegreb for al skadelig kode der er indsat i dit site uden din viden. De mest almindelige typer i 2025:

Backdoors — skjulte indgange der giver hackere permanent adgang selv efter du har skiftet adgangskoder. Gemmer sig typisk som wp-includes/ms-settings.php eller lignende filer der ser legitime ud.

SEO-spam / Pharma hack — indsætter tusindvis af usynlige sider med pill-spam eller casino-links. Ødelægger dit Google-ranking og kan tage måneder at opdage.

Redirect-malware — sender mobilbrugere eller besøgende fra Google til spamsites mens du selv ser dit normale site.

Kryptomining — bruger dine besøgendes CPU-kraft til at mine kryptovaluta. Mærkes som dramatisk langsommere sidelæsning.

Phishing-sider — opretter falske login-sider (typisk for banker eller Netflix) hostet på dit domæne.

Forberedelse: Hvad du skal bruge

• FTP-adgang til dit filsystem (FileZilla er gratis og velfungerende)
• Adgang til phpMyAdmin eller lignende databaseværktøj
• En lokal kopi af WordPress i samme version som dit site
• Ca. 2-4 timer til en grundig rensning

Metode 1: Plugin-baseret scanning

Wordfence er det mest udbredte gratis sikkerhedsplugin. Installer det og kør en fuld scanning:

1. Installer og aktiver Wordfence
2. Gå til Wordfence → Scan → Start New Scan
3. Gennemgå alle fund — vær særlig opmærksom på Critical og High
4. For ændrede kernefileler: vælg Restore the original version

Begrænsning: Wordfence finder kode der matcher kendte signaturer. Ny eller tilpasset malware slipper igennem.

Metode 2: Manuel filsammenligning

Download den officielle WordPress-version der matcher dit site fra wordpress.org/download/releases. Sammenlign nu fil for fil:

wp-config.php — sammenlign med wp-config-sample.php. Al kode ud over dine database-credentials og salt-nøgler er mistænkelig.

/wp-admin/ og /wp-includes/ — disse mapper må ikke indeholde filer der ikke findes i den officielle WordPress-installation. En ekstra .php-fil her er næsten altid en backdoor.

Tema-filer — functions.php, header.php og footer.php er yndlingssteder for malware. Kig efter eval(), base64_decode(), gzinflate() og str_rot13().

/wp-content/uploads/ — kør denne kommando via SSH for at finde alle PHP-filer i uploads:

find /wp-content/uploads -name "*.php" -type f

Alle resultater er malware. Slet dem.

Metode 3: Database-scanning

Malware gemmer sig ikke kun i filer — det kan også ligge i databasen. Brug denne SQL-forespørgsel til at finde obfuskeret kode:

SELECT option_name, option_value 
FROM wp_options 
WHERE option_value LIKE '%eval(%' 
   OR option_value LIKE '%base64_decode%'
   OR option_value LIKE '%gzinflate%';

De mest oversete gemmessteder

Efter 50+ oprydninger er her de steder malware gemmer sig som selv erfarne folk overser:

• /wp-includes/certificates/ — indeholder normalt kun en .crt-fil. PHP-filer her er altid malware
• Tema-billeder — .jpg.php double-extension filer
• Cron-jobs — wp-cron.php kan være modificeret til at genskabe malware
• auto_prepend_file i .htaccess eller php.ini — kører kode før alt andet

Efter rensningen: Forebyg gentagelse

// Tilføj til wp-config.php
define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);

Sæt korrekte filrettigheder via SSH:

find /var/www/html -type d -exec chmod 755 {} \;
find /var/www/html -type f -exec chmod 644 {} \;
chmod 600 wp-config.php

Har du ikke tid eller lyst til selv at gennemgå alt dette? Kontakt mig — jeg tilbyder professionel malware-rensning med 30 dages garanti.