Hopp til innhold
InfoDesk logo

WordPress-sikkerhet 2026: WP-SHELLSTORM og hullene du må tette

En eksponert angrepsserver avslørte kampanjen WP-SHELLSTORM, og en anerkjent plugin-leverandør fikk oppdateringskanalen kapret. Hva den pågående bølgen betyr for norske WordPress-sider – og hvordan du sikrer din.

Håkon Berntsen Håkon Berntsen 6 min lesetid
WordPress-sikkerhet 2026: WP-SHELLSTORM og hullene du må tette

WordPress driver en stor andel av verdens nettsteder, og en enda større andel av de aller minste bedriftenes. Det gjør plattformen til et yndet mål – og sommeren 2026 kom to hendelser som til sammen forklarer hvorfor et WordPress-nettsted aldri er «ferdig». En eksponert angrepsserver avslørte en industrialisert kampanje som har bakdørt titusener av sider, og en anerkjent plugin-leverandør fikk selve oppdateringskanalen sin kapret. For en norsk småbedrift med et WordPress-nettsted er dette ikke fjernt nyhetsstoff – det er en påminnelse om at vedlikehold er en driftsoppgave, ikke et engangsprosjekt.

Hva WP-SHELLSTORM faktisk er

Den 11. juni 2026 oppdaget sikkerhetsselskapet SOCRadar en angrepsserver som sto helt åpen på nett. Ifølge The Hacker News inneholdt den rundt 800 MB fordelt på 434 filer: ferdige webshells, exploit-skript, skanneresultater, operatørens egen kommandohistorikk og innstillinger for styring av de infiserte sidene. Serveren hadde stått tilgjengelig i om lag 22 dager før den ble slettet. Kampanjen har fått navnet WP-SHELLSTORM.

Omfanget er tankevekkende, men tallene må leses presist. Angriperne hadde mållister med over 1,4 millioner nettsteder – men det er skannemål, ikke vellykkede innbrudd. De faktiske kompromitteringene er langt færre: analysemiljøet Ctrl-Alt-Intel fant bevis for 25 195 kompromitterte sider, mens SOCRadar talte drøyt 5 700 aktive webshells. Uansett hvilket tall man legger til grunn, er dette en industrialisert operasjon som treffer vanlige, små nettsteder – ikke bare store mål.

Verktøykassen dekket 27 kjente sårbarheter. To skiller seg ut: et hull i hurtigbufferpluginen Breeze (CVE-2026-3844) ble brukt til å bakdøre over 17 000 sider av 45 000 forsøkte, og en gammel sårbarhet i Joomlas JCE-editor (CVE-2026-48907) ble avfyrt mot 560 000 mål, men traff bare 77. Kontrasten er selve lærdommen: angriperne skyter bredt og billig, og gevinsten ligger i de få prosentene som ikke har oppdatert. Hovedbakdøren, kalt «down.php», var kraftig obfuskert i fire lag og bygget på den kjente BestShell-koden; i tillegg brukte de skadevaren SNOWLIGHT og en snikende bakdør (VShell) forkledd som en systemprosess ved navn «[kworker/0:2]».

ShapedPlugin: når faren kommer via en offisiell oppdatering

Den andre hendelsen er på mange måter mer urovekkende, fordi den snur et av våre viktigste sikkerhetsråd på hodet. Vi ber alltid folk om å oppdatere – men hva om selve oppdateringen er infisert? Det var nettopp det som skjedde med den anerkjente leverandøren ShapedPlugin. Ifølge The Hacker News kompromitterte angriperne leverandørens bygge- og distribusjonskjede og sprøytet bakdørskode inn i Pro-versjonene av tre populære plugins, som deretter ble levert gjennom de offisielle, lisensierte oppdateringskanalene.

De berørte pluginene var Product Slider Pro for WooCommerce (3.5.2), Real Testimonials Pro (3.2.4 og 3.2.5) og Smart Post Show Pro (4.0.1). Sårbarheten fikk CVE-2026-10735 med toppscore 9,8 av 10. Den innsatte koden lastet en «loader» som kjørte ved hver eneste admin-sidevisning, hentet en ny nyttelast fra en fjernserver og installerte en falsk plugin med navnet «WooCommerce Subscription» for å holde seg på plass. Kun de betalte Pro-versjonene var rammet; gratisversjonene fra WordPress.org var trygge. Feilen ble innført 23. mai 2026 og offentliggjort 22. juni. Rettede versjoner er 3.5.3, 4.0.2 og 3.2.6 – eller nyere.

Hvorfor dette treffer norske småbedrifter spesielt

Norske småbedrifter er sjelden spesifikke mål – men det er nettopp poenget. WP-SHELLSTORM bryr seg ikke om du selger garn i Sandefjord eller driver en tannklinikk i Tromsø. Kampanjen skanner hele internett etter én ting: en kjent sårbarhet som ikke er tettet. Er nettstedet ditt bygget på WordPress med noen plugins du installerte for to år siden og aldri har rørt siden, er du akkurat den typen mål slike operasjoner lever av. En kapret nettside brukes til å spre skadevare til dine besøkende, sende ut spam eller tjene som skjulested i et større angrep – og du oppdager det ofte først når Google svartelister siden eller kunder ringer.

Vi har skrevet mer utfyllende om det grunnleggende forsvaret i vår guide til cybersikkerhet for småbedrifter. Denne artikkelen tar for seg det som er spesifikt for den pågående bølgen.

Slik sjekker du om du allerede er rammet

Før du gjør noe annet, se etter tegn på at noen allerede er inne. Angriperne bak WP-SHELLSTORM la igjen gjenkjennelige spor:

  • Ukjente filer med navn som slutter på «.bd.php», «.wp-log.php» eller mønsteret «.brq-*.php» – ofte lagt i opplastingsmapper der det ikke skal ligge PHP-filer i det hele tatt.
  • Falske systemprosesser som «[kworker/0:2]» med nettverkstrafikk – en normal kworker-prosess snakker ikke med servere ute på nettet.
  • En «WooCommerce Subscription»-plugin du ikke har installert selv – et tegn på ShapedPlugin-bakdøren.
  • Utgående forbindelser til adressene 137.175.93.126, 43.108.17.80 eller 194.76.217.28 i serverloggene.

Finner du noe av dette, bør du behandle nettstedet som kompromittert: ta det midlertidig av nett, gjenopprett fra en ren backup fra før infeksjonen, og bytt alle passord og API-nøkler. Å bare slette en webshell er sjelden nok – angriperne legger gjerne igjen flere veier inn.

Sjekkliste: åtte tiltak som stopper de fleste angrep

Det gode er at forsvaret mot masseangrep som dette er velkjent og overkommelig. Ingen av punktene krever at du er utvikler:

  • Oppdater alt – i dag. WordPress-kjerne, tema og samtlige plugins. Har du Breeze, sørg for versjon 2.4.5 eller nyere.
  • Fjern det du ikke bruker. Deaktiverte plugins og temaer er fortsatt kode på serveren som kan utnyttes. Slett dem helt.
  • Slå på tofaktorautentisering (2FA) på alle administratorbrukere. Dette alene stopper de fleste passordbaserte angrep.
  • Ta automatiske, versjonerte backuper som lagres et annet sted enn selve nettstedet – så du har en ren kopi å gå tilbake til.
  • Begrens antall innloggingsforsøk og bruk sterke, unike passord for hver bruker.
  • Overvåk endringer i filer. En sikkerhetsplugin eller tjeneste som varsler når nye PHP-filer dukker opp, fanger en bakdør tidlig.
  • Kjør færre, men kvalitetssikrede plugins. Hver plugin er en potensiell inngang; velg aktivt vedlikeholdte utvidelser fra seriøse leverandører.
  • Sørg for at hostingen tar sin del. God drift, brannmur og isolasjon på serversiden er en forutsetning – noe vi utdyper i sikker hosting med SSL, backup og GDPR.

Den ubehagelige innsikten fra begge hendelsene er at «å oppdatere» ikke lenger er en garanti i seg selv – ShapedPlugin viser at selv en legitim oppdatering kan bære skadevare. Men konklusjonen er ikke å la være å oppdatere; den er å bygge forsvar i flere lag. Oppdatering tetter de kjente hullene som WP-SHELLSTORM lever av, mens backup, overvåkning og begrenset tilgang fanger opp det uventede. Et WordPress-nettsted er et levende system som må driftes – og den bedriften som behandler det slik, sover roligere enn den som tror at et nettsted er noe man setter opp én gang og glemmer.

Lurer du på noe av dette for din organisasjon?

Vi hjelper ideelle organisasjoner og bedrifter med Microsoft 365, Copilot, AI-agenter og domener. Ta kontakt — første prat er alltid uforpliktende.