Simulation Træning Monitorering Priser Virksomheden Ressourcer Blog Kontakt
Prøv det gratis Log ind

Malware rammer WordPress og WooCommerce

Ny malware rammer WordPress og WooCommerce og stjæler kreditkort- og loginoplysninger ved at udgive sig for at være Cloudflare på checkout-sider.

25-06-2025 - 4 minutters læsning. Under kategorien: cybercrime.

Malware rammer WordPress og WooCommerce

Malware stjæler data fra WordPress og WooCommerce

En nyligt opdaget malwarekampagne stjæler i al hemmelighed kreditkort- og loginoplysninger fra WordPress- og WooCommerce-hjemmesider. Hackerne benytter falske plugins og scripts, der udgiver sig for at være fra Cloudflare – en ellers troværdig udbyder af internetsikkerhed. Formålet er at narre både hjemmesideejere og kunder, uden at nogen bemærker noget.

Aktiv siden 2023 – men først opdaget nu

Researchers hos Wordfence har opdaget, at malwaren har været aktiv siden september 2023. Den er forblevet skjult så længe, fordi den er nøje designet til at blende ind i den normale aktivitet på hjemmesiden. I stedet for at skabe synlige problemer arbejder den i stilhed i baggrunden og stjæler følsomme oplysninger, når brugere gennemfører køb.

Fokus på kreditkort- og loginoplysninger

Malwaren retter sig især mod checkout-sider, som er det sidste trin i online shopping. Den er udviklet til både kreditkort-skimming og tyveri af loginoplysninger, hvilket betyder, at den opsnapper følsomme data som kortnumre og brugernavne, mens brugerne indtaster dem. De stjålne oplysninger sendes i al diskretion videre til hackerne, uden at det vækker mistanke.

Det, der gør denne kampagne særlig, er dens modulære opbygning. Det giver hackerne mulighed for at tilpasse malwaren afhængigt af den hjemmeside, de rammer, og for løbende at justere eller udvide angrebet – uden at skulle starte fra bunden.

Lignende trusler har tidligere ramt både WooCommerce- og WordPress-hjemmesider. For eksempel udsatte et omfattende brud i WooCommerce millioner af kundedata gennem sårbarheder i checkout-processen. Kampagner som Balada Injector-malwaren viser også, hvordan angribere udnytter falske plugins og skjulte scripts til at stjæle data uden at blive opdaget.

Udgiver sig for at være Cloudflare for at undgå mistanke

For at skjule sin tilstedeværelse udgiver malwaren sig for at være en del af Cloudflare – en velkendt og troværdig sikkerhedstjeneste. Den bruger filnavne som cloudflare.js for at virke legitim, selvom den i virkeligheden ikke har nogen forbindelse til Cloudflare. Dette gør det vanskeligere for hjemmesideejere at opdage, at noget er galt.

De falske Cloudflare-scripts indsættes i centrale dele af hjemmesiden, især i filer, der er knyttet til checkout-funktionen. De er skjult på en måde, der får dem til at ligne en naturlig del af websitets funktionalitet.

Installeres via falske WordPress-plugins

Hackerne opnår adgang ved at installere ondsindede plugins, der udgiver sig for at være almindelige WordPress-værktøjer. De kan have navne, der antyder, at de forbedrer ydeevnen eller tilføjer funktioner til hjemmesiden. Når pluginet er installeret, indsætter det skadelig kode og kan endda oprette skjulte administratorbrugere, som giver hackerne vedvarende adgang.

Forskere har identificeret plugin-filer med navne som:

  • woocommerce-sms-gateway.zip

  • cloudflare.php

  • wp-optimiser.php

Disse filer er ikke en del af nogen officielle WordPress- eller WooCommerce-komponenter og bør derfor betragtes som mistænkelige.

Hvad hjemmesideejere bør gøre

Hvis du driver et WordPress- eller WooCommerce-websted, er det vigtigt at tage denne type trussel alvorligt. Her er nogle konkrete tiltag, du kan tage for at beskytte dit site:

  • Gennemgå alle installerede plugins og temaer. Fjern eller undersøg alt, du ikke genkender.

  • Sørg for, at WordPress, samt alle plugins og temaer, altid er opdaterede.

  • Brug et pålideligt sikkerhedsplugin til at scanne for malware og mistænkelige filer.

  • Tjek om der er oprettet ukendte administratorbrugere i kontrolpanelet.

  • Hold øje med usædvanlig aktivitet på checkout-siden.

Undgå desuden at installere plugins fra uofficielle kilder. Brug altid det officielle WordPress-pluginbibliotek eller velrenommerede udbydere.

En stigende trussel mod onlinebutikker

Denne malwarekampagne er en del af en voksende tendens, hvor cyberkriminelle bliver stadig mere målrettede og sofistikerede i deres metoder. Ved at angribe checkout-sider og udgive sig for at være troværdige tjenester som Cloudflare øger de chancerne for at lykkes – samtidig med, at risikoen for at blive opdaget falder.

For webshops, især dem der bruger WooCommerce, kan angreb som dette få alvorlige konsekvenser. Det sætter både virksomhedens drift og kundernes data i fare.

Hos Moxso hjælper vi virksomheder med at navigere i et trusselsbillede, der hele tiden udvikler sig. Det bedste forsvar er at være opdateret, tage sikkerhed alvorligt og løbende holde øje med mistænkelig aktivitet.

Forfatter Sarah Krarup

Sarah Krarup

Sarah studerer innovation og entrepreneurship og har en dyb interesse for IT og hvordan cybersikkerhed påvirker virksomheder og private. Hun har stor erfaring med copywriting og en passion for at formidle viden om cybersikkerhed på en engagerende måde.

Se alle indlæg af Sarah Krarup

Lignende indlæg

Cybertrusler i push-meddelelser
cybercrime

Cybertrusler i push-meddelelser

Push-notifikationer er en del af vores liv. Men hvad er push-notifikationer egentlig, og endnu vigtigere; hvordan udgør de en cybertrussel?

22-03-2024 · 5 min.
Hvad er e-databeskyttelsesdirektivet?
awareness

Hvad er e-databeskyttelsesdirektivet?

EU's e-databeskyttelsesdirektiv er et vigtigt skridt i retning af at skabe et digitalt miljø, der prioriterer privatlivets fred og databeskyttelse.

05-03-2024 · 5 min.
CSPM: Det ligger i skyen
tips

CSPM: Det ligger i skyen

Mange bruger cloud-lagre som en løsning til fildeling mellem medarbejdere. Her ser vi på, hvordan du kan forbedre sikkerhedsniveauet i dit cloud-lager.

26-04-2023 · 5 min.