Skadevare på nettstedet: slik oppdager og fjerner du det
Utdaterte plugins er den vanligste veien inn for skadevare. Her er tegnene å se etter og fremgangsmåten for å rydde opp.
Skadevare på et nettsted er ikke bare et teknisk problem – det er et omdømmeproblem. Nettlesere som Chrome og Firefox viser tydelige advarselssider til besøkende på kompromitterte nettsteder. Google kan fjerne siden fra søkeresultater. Og besøkende som blir utsatt for phishing eller nedlasting av skadelig kode via nettstedet ditt, kan holde deg ansvarlig. Jo raskere du oppdager og håndterer skadevare, jo bedre.
Hvordan havner skadevare på et nettsted?
Den vanligste inngangsveien er utdatert programvare. Et CMS som WordPress, Joomla eller Drupal er bygget på tusenvis av kodelinjer, og leverandørene oppdager og patcher sårbarheter jevnlig. Installer du ikke oppdateringene, sitter du igjen med kjente sikkerhetshull som angripere aktivt utnytter.
Andre vanlige inngangsporter:
- Svake eller kompromitterte passord på admin-kontoer
- Usikre eller ondsinnede tredjeparts-plugins og temaer – spesielt «nulled» (piratkopierede) versjoner
- Sårbare skjemaer og opplastingsfunksjoner som ikke validerer input
- Kompromitterte webhotell-servere der nabosider på delt hosting er angrepsporten
- Phishing mot webmaster-e-posten som gir angriperen tilgang til kontrollpanelet
Typiske tegn på skadevare
Skadevare er ikke alltid synlig. Mange varianter er designet for å være usynlige for nettstedseieren, men synlige for angriperen og – i noen tilfeller – besøkende. Se etter:
- Ukjente filer eller mapper i filstrukturen, særlig med kryptiske navn
- Uønsket innhold som spamlenker, poker/farmasi-reklame eller fremmedspråklig tekst som dukker opp i sider
- Videresending av besøkende til ukjente nettsteder
- Advarsel fra Google i Search Console eller i nettlesere
- Ustabil ytelse – nettstedet er plutselig tregere uten åpenbar grunn (skadevare bruker gjerne serverressurser til spam eller kryptomining)
- E-postspam sendt fra domenet ditt – angripere bruker kompromitterte servere til masseutsendelse
Sjekk Google Search Console
Google Search Console er et gratis og svært nyttig verktøy. Under «Sikkerhet og manuelle tiltak» varsler Google deg dersom de oppdager skadevare, hacking eller uønsket programvare knyttet til nettstedet ditt. Har du ikke koblet nettstedet til Search Console ennå, gjør det nå.
Slik scanner du for skadevare
Gratis online-skannere
- Sucuri SiteCheck (sitecheck.sucuri.net) – scanner offentlig tilgjengelig HTML og koden den inneholder
- VirusTotal – lar deg sjekke en URL mot over 70 antivirusmotorer
- Google Safe Browsing – sjekk om Google har flagget domenet ditt via transparencyreport.google.com
Merk at disse verktøyene kun ser det som er synlig fra utsiden. Skjult skadevare i filsystemet krever serverside-skanning.
Serverside-skannere
- Wordfence (WordPress-plugin) – scanner alle filer mot en kjent signaturdatabase og varsler om avvik
- MalCare – automatisert deep scan som oppdager obfuskert (tilslørt) skadevare
- ClamAV – åpen kildekode antivirusmotor som kan brukes via SSH på server
Fremgangsmåte for opprydding
1. Isoler nettstedet for å hindre videre skade på besøkende. Se detaljert fremgangsmåte i artikkelen vår om hva du gjør når nettstedet er hacket .
2. Ta en kopi av det infiserte nettstedet som referanse.
3. Gjenopprett fra ren backup. Dette er den sikreste metoden. En manuell opprydding er mulig, men risikerer å etterlate bakdører. Les mer om 3-2-1-sikkerhetskopi for å sikre at du alltid har en ren backup å falle tilbake på.
4. Manuell gjennomgang (dersom backup ikke er tilgjengelig):
- Sammenlign filer mot den offisielle CMS-distribusjonen – bruk filhash-sammenligning
- Søk etter mistenkelige funksjoner i PHP-filer:
eval(),base64_decode(),gzinflate(),str_rot13() - Sjekk
.htaccessogwp-config.phpfor uautoriserte endringer - Gå gjennom databasen for injiserte lenker eller skript i innholdsfelt
5. Oppdater alt etter opprydding – CMS-kjerne, plugins, temaer. Fjern plugins og temaer som ikke brukes.
6. Bytt alle passord og aktiver to-faktor-autentisering .
7. Be Google om ny gjennomgang via Search Console dersom nettstedet var flagget. Google fjerner vanligvis advarselen innen noen dager etter at nettstedet er rent.
Forebygging
| Tiltak | Effekt |
|---|---|
| Oppdater plugins og temaer umiddelbart | Fjerner kjente sårbarheter |
| Bruk kun plugins fra offisielle kilder | Reduserer risiko for ondsinnede plugins |
| Begrens antall adminbrukere | Reduserer angrepsflate |
| Aktiver filintegritetsovervåking | Varsler om uautoriserte filendringer |
| Konfigurer en brannmur (WAF) | Blokkerer mange automatiserte angrep |
| Kjør regelmessige skanninger | Fanger opp problemer tidlig |
Kombiner med domenesikkerhet
Skadevare på nettstedet kan kombineres med andre angrep. En angriper som har tilgang til serveren kan forsøke å endre DNS-innstillinger for å ta over domenet. Sørg for at domenekontoen din hos Vymo er beskyttet og at DNSSEC er aktivert. Du kan administrere domenet ditt og sjekke DNS-innstillingene under domeneoversikten .
Klar til å sikre domenet ditt?
Sjekk om navnet er ledig – live mot registeret, på .no, .com og flere.