Akut hacket?Få hjælp nu· Svar inden for 4 timer ·+45 41 57 79 98
WP-Sikkerhed
Malware-fjernelse

WordPress redirect-hack: sådan fjerner du spam-viderestilling

·5 min læsning·Mads Holst Jensen

Et redirect-hack er et af de mest almindelige — og mest frustrerende — WordPress-angreb. Dit site ser normalt ud, når du er logget ind, men besøgende bliver kastet videre til spam-, casino-, medicin- eller dating-sider. Resultatet er tabt trafik, ødelagt omdømme og ofte en Google-advarsel oven i. Den gode nyhed: viderestillingen gemmer sig som regel et af nogle få steder, og når du ved hvor, kan den fjernes systematisk.

Denne guide viser, hvor koden typisk sidder, og hvordan du renser hvert sted. Arbejd metodisk fra top til bund — overser du bare ét injektionspunkt, vender redirecten tilbage.

Bliver dine kunder sendt videre til spam lige nu? Hver time koster salg. Få akut oprydning — svar inden for 4 timer.

Sådan virker et redirect-hack

Angriberen indsætter kode, der opfanger besøgende og sender dem videre — men kun under bestemte betingelser, så hacket forbliver skjult for ejeren. Typiske tricks:

  • Kun for besøgende fra Google (koden tjekker HTTP_REFERER), så du selv ser intet, når du klikker rundt internt.
  • Kun for nye besøgende (sat via en cookie), så et genbesøg ser rent ud.
  • Kun på mobil (koden tjekker HTTP_USER_AGENT), fordi mobiltrafik er størst og sværest at opdage.

Derfor er den bedste test at åbne sitet i et privat browservindue fra et Google-søgeresultat på din telefon. Bliver du viderestillet, er diagnosen klar.

Trin 1: Tjek og rens .htaccess

.htaccess i roden af installationen er det hyppigste gemmested. Kig efter RewriteRule-linjer, der peger på et fremmed domæne, eller blokke der bruger betingelser på HTTP_REFERER og HTTP_USER_AGENT:

# EKSEMPEL på ondsindet kode — slet linjer som disse:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} google [NC]
RewriteRule ^(.*)$ http://spam-domæne.example/ [R=301,L]
</IfModule>

Behold kun WordPress' egen standardblok (mellem # BEGIN WordPress og # END WordPress). Tag en kopi af filen først, så du kan rulle tilbage, hvis noget går galt. Husk, at angriberen kan have lagt en ekstra .htaccess i undermapper — søg hele installationen igennem.

Trin 2: Undersøg wp-config.php og index.php

Næste sted er bunden af wp-config.php og toppen af index.php. Her indsættes ofte et lille stykke sløret PHP. Led efter funktioner som eval, base64_decode, gzinflate og str_rot13, der bruges til at skjule koden:

grep -RinE "eval\(|base64_decode\(|gzinflate\(|str_rot13\(|preg_replace\(.*/e" \
  wp-config.php index.php wp-content/ wp-includes/

Find du en lang, kryptisk streng pakket ind i eval(base64_decode(...)), er det næsten altid malware. Vær dog kritisk: enkelte legitime plugins bruger base64, så sammenlign med en ren kopi af samme plugin, hvis du er i tvivl.

Trin 3: Rens temaets functions.php og header

Det aktive temas functions.php og header.php er klassiske mål, fordi koden her indlæses på hver eneste sidevisning. Et injiceret wp_redirect() eller et <script> med window.location i headeren kan stå bag viderestillingen. Sammenlign med en frisk kopi af temaet fra udvikleren, og vær særligt opmærksom på linjer, der er klistret ind i bunden af filen efter den sidste ?>.

Koden gemmer sig stadig, og du tør ikke rette i temaet? Jeg finder injektionen og fjerner alle bagdøre — fast pris fra 2.000 kr.

Trin 4: Tjek databasen — wp_options og indlæg

Redirects lever ikke kun i filer. To steder i databasen er værd at tjekke:

  • wp_options: kontrollér at siteurl og home peger på dit eget domæne og ikke et fremmed. Led også efter mistænkelige poster, der indlæser scripts.
  • Indlæg og widgets: angribere injicerer nogle gange <script>-tags direkte i indhold eller i tekst-widgets.
SELECT option_name, option_value FROM wp_options
WHERE option_name IN ('siteurl','home');

Bruger du WP-CLI, kan du tjekke det samme hurtigt med wp option get siteurl og wp option get home.

Trin 5: Find bagdøren, så det ikke kommer igen

Selv når viderestillingen er væk, er arbejdet ikke slut. Næsten alle redirect-hacks efterlader en bagdør — en skjult fil eller funktion, der lader angriberen genindsætte koden. Skift derfor alle adgangskoder og de hemmelige nøgler i wp-config.php, scan med både Wordfence og MalCare, og gennemgå de senest ændrede filer. Hele den metodiske oprydning er beskrevet i WordPress hacket? Sådan rydder du op, og den generelle malware-jagt i Fjern malware fra WordPress.

Til sidst: når sitet er rent, så luk hullet. En Web Application Firewall (WAF) og opdaterede plugins forhindrer, at det samme angreb lykkes igen.

Ofte stillede spørgsmål

Hvorfor ser jeg ikke redirecten, når jeg selv besøger sitet?

Fordi koden bevidst er sat til kun at ramme bestemte besøgende — typisk dem der kommer fra Google, dem på mobil eller dem på deres første besøg. Når du er logget ind eller besøger sitet direkte, springer koden viderestillingen over. Test derfor altid i et privat browservindue via et søgeresultat på mobil.

Kan jeg fjerne et redirect-hack med et plugin?

Et sikkerhedsplugin som Wordfence eller MalCare kan finde og i nogle tilfælde rense de inficerede filer automatisk. Men plugins overser ofte bagdøre, der gemmer sig uden for det, de scanner efter. Den sikreste løsning er en kombination af automatisk scanning og manuel gennemgang af .htaccess, wp-config.php, temaet og databasen.

Hvad gør jeg, hvis redirecten kommer tilbage efter et par dage?

Det betyder, at der stadig findes en bagdør, du har overset. Angriberen bruger den til at genindsætte koden. Du skal skifte alle adgangskoder og salts, finde selve bagdøren — ofte en PHP-fil i uploads-mappen eller en skjult funktion i et plugin — og fjerne den, før viderestillingen forsvinder permanent.

Skader et redirect-hack min placering i Google?

Ja. Google opdager hurtigt viderestillinger til spam og kan vise en advarsel foran sitet eller fjerne det fra indekset. Jo længere hacket er aktivt, jo større er trafik- og rangtabet. Derfor er hurtig oprydning og en efterfølgende reconsideration request i Search Console vigtig.

Læs også

Malware-fjernelse

Hvad koster det at få fjernet malware fra WordPress? (priser 2026)

Hvad koster professionel malware-fjernelse på WordPress? Få et realistisk prisoverblik: faste priser vs. abonnement, hvad der påvirker prisen, hvad du får for pengene — og hvornår det kan betale sig at gøre det selv kontra at hyre hjælp.

Malware-fjernelse

Japansk SEO-spam i WordPress: sådan fjerner du det helt

Viser Google pludselig japanske tegn i dine søgeresultater? Det er det japanske keyword-hack — et af de mest udbredte WordPress-angreb. Lær at finde de skjulte spam-sider, rense sitemap og database, fjerne bagdøren og få din rigtige indeksering tilbage i Search Console.

Malware-fjernelse

Fjern malware fra WordPress: komplet guide til at finde og slette skadelig kode

Redirects, spam-popups eller en Google-advarsel? Lær at finde og fjerne malware fra WordPress — fra plugin- og server-scanning til manuel jagt på base64- og eval-injektioner i filer og database.

Ring nuFå akut hjælp