Warum kommt wp-vcd nach dem Löschen immer wieder?

Weil sie in allen Themes gleichzeitig lebt. Sobald WordPress eine Kopie lädt, stellt sie die anderen wieder her. Die einzige Lösung ist, alle Kopien in einem Zug zu entfernen und den Loader zu brechen.

Muss ich WordPress neu installieren, um es loszuwerden?

Meist nein. Der WordPress-Core wird von wp-vcd selten verändert. Die Malware sitzt in Themes, gelegentlich in Plugins und in wenigen Datenbankzeilen. Eine gezielte Bereinigung ist schneller und sicherer als eine komplette Neuinstallation.

Bleibt meine Seite während der Bereinigung offline?

Ja. Wir entfernen den eingeschleusten Loader oben in der functions.php und lassen den Rest der Datei unangetastet. Ihre Anpassungen bleiben erhalten.

Wie vermeide ich eine erneute Infektion?

Verzichten Sie auf Nulled-Plugins und -Themes. Der Bericht nennt die genaue Quelle Ihrer Infektion, damit Sie sie dauerhaft entfernen können.

// PHARMA-HACK · WORDPRESS · BEREINIGT

wp-vcd malware removal.

Die wp-vcd-Familie kopiert sich in jedes Theme der Installation — deshalb kommt sie nach dem Löschen immer wieder. Wir bereinigen jedes Theme, jede functions.php und den Loader, der sie neu installiert. Pauschal 279 $.

Bereinigung starten → Wie sich wp-vcd verbreitet

§ 01 — MECHANISMUS

Sie kommt mit einem Nulled-Plugin herein und bleibt monatelang.

wp-vcd ist eine seit langem aktive WordPress-Malware-Familie. Sie kommt fast immer mit einem raubkopierten Theme oder Plugin von einer Free-Download-Seite. Auf dem Server kopiert sie sich in jedes Theme und ändert jede functions.php, sodass sie bei jeder Anfrage geladen wird.

Eine einzelne Kopie zu löschen ist nutzlos — die anderen stellen sie beim nächsten Seitenaufruf wieder her. Saubere Bereinigung heißt: alle Kopien gleichzeitig finden, zusammen entfernen und den Loader zerschlagen, der sie neu installiert.

// grep — wp-vcd Loader-Signaturen

01 grep -rn 'wp-vcd\|class.plugin.php\|tmpcontentx' \\
02     wp-content/themes/
03
04 // Loader is usually a base64-encoded blob at the top
05 // of functions.php in every theme on the install.

§ 02 — WAS WIR ENTFERNEN

Jede Kopie, jedes Theme.

[ PLUGIN-TRIAGE ]

Jedes Theme der Installation wird aufgelistet. Jede functions.php wird mit dem Original des Theme-Anbieters verglichen.
[ DATEIEN ]

wp-vcd.php und class.plugin.php werden in einem Zug aus jedem Theme-Verzeichnis entfernt, damit sie sich nicht gegenseitig wiederherstellen.
[ FUNCTIONS.PHP ]

Der eingeschleuste Loader am Anfang jeder functions.php wird entfernt; der Rest der Datei bleibt erhalten.
[ BACKDOORS ]

Vom Malware-Code angelegte wp_user-Konten gelöscht. Versteckte Admin-Nutzer — eine wp-vcd-Signatur — entfernt.
[ ABSICHERUNG ]

Themes aus unbekannten Quellen werden markiert. Wir empfehlen Ersatz, wo das Original nicht zu beschaffen ist.
[ BERICHT ]

Forensischer Bericht in Klartext, geeignet für Kunden, Versicherer oder die eigenen Akten.

§ PREISE

Pauschal $279. Einmalig. Pro Seite.

[ RESCUE ]

$279

PAUSCHAL · EINMALIG · PRO SEITE

Manual cleanup, entry-vector identification, written forensic report.

Bereinigung starten →

[ SHIELD ]

$29 / mo

PRO SEITE · JEDERZEIT KÜNDBAR

Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.

Schützen lassen →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Alle Leistungen ansehen →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Kontakt →