Malware-Scanner¶
| Eigenschaft | Wert |
|---|---|
| Modul-ID | malware-scanner |
| Icon | dashicons-search |
| Priorität | 80 |
Beschreibung¶
Der Malware-Scanner durchsucht ausgewählte WordPress-Verzeichnisse nach verdächtigen Code-Mustern, die auf Malware oder Backdoors hindeuten könnten.
Scan starten¶
Der Scan wird über den Button Scan starten im Dashboard ausgelöst. Die Ergebnisse werden zwischengespeichert und sind 24 Stunden gültig — ein erneuter Scan innerhalb dieses Zeitraums verwendet die gespeicherten Ergebnisse.
Erkannte Muster¶
Der Scanner sucht nach 13 verdächtigen Code-Mustern:
| Muster | Risiko | Beschreibung |
|---|---|---|
eval() |
Hoch | Führt beliebigen Code aus |
base64_decode() |
Mittel | Oft zum Verschleiern von Schadcode verwendet |
str_rot13() |
Mittel | Einfache Verschleierung |
gzinflate() |
Mittel | Komprimierter/verschleierter Code |
assert() |
Mittel | Kann als Alternative zu eval() missbraucht werden |
preg_replace mit /e |
Hoch | Veraltet — ermöglicht Code-Ausführung |
create_function() |
Mittel | Veraltet — dynamische Funktionserstellung |
call_user_func() |
Niedrig | Dynamischer Funktionsaufruf |
$_REQUEST |
Niedrig | Direkter Zugriff auf Benutzereingaben |
shell_exec() |
Hoch | Systembefehl-Ausführung |
exec() |
Hoch | Systembefehl-Ausführung |
system() |
Hoch | Systembefehl-Ausführung |
passthru() |
Hoch | Systembefehl-Ausführung |
Sonderregel: PHP in Uploads¶
Jede PHP-Datei im Uploads-Verzeichnis wird automatisch als hohes Risiko eingestuft. PHP-Dateien haben in Upload-Verzeichnissen nichts zu suchen und sind ein starker Indikator für eine Kompromittierung.
Risikostufen¶
| Stufe | Farbe | Beschreibung |
|---|---|---|
| Hoch | Rot | Wahrscheinlich schädlich — sofortige Untersuchung empfohlen |
| Mittel | Orange | Potenziell verdächtig — sollte überprüft werden |
| Niedrig | Gelb | Kann legitim sein, aber ungewöhnlich |
Scan-Ergebnisse¶
Nach einem Scan werden angezeigt:
- Gescannte Dateien — Gesamtzahl der überprüften Dateien
- Scan-Dauer — Wie lange der Scan gedauert hat
- Fundstellen — Liste aller verdächtigen Dateien mit:
- Dateipfad
- Zeilennummer
- Erkanntes Muster
- Risikostufe
Einstellungen¶
Unter Einstellungen → HBDEV Dashboard → Malware-Scanner:
| Einstellung | Beschreibung |
|---|---|
| Zu scannende Verzeichnisse | Uploads, Themes und/oder Plugins |
| Whitelist | Dateipfade, die vom Scan ausgeschlossen werden (ein Muster pro Zeile) |
Hinweise¶
Performance
Der Scan durchsucht rekursiv alle Dateien in den ausgewählten Verzeichnissen. Bei großen Installationen mit vielen Dateien kann der Scan mehrere Minuten dauern.
Keine automatische Entfernung
Der Scanner erkennt nur verdächtige Muster — er entfernt oder ändert keine Dateien. Gefundene Dateien müssen manuell überprüft und bei Bedarf entfernt werden.
False Positives
Nicht jeder Fund ist tatsächlich Malware. Viele legitime Plugins verwenden Funktionen wie eval() oder base64_decode() für reguläre Zwecke. Nutze die Whitelist, um bekannte False Positives auszuschließen.