Hace dos meses, uno de nuestros sitios de Wordpress fue infestado hasta el final. Esto fue al mismo tiempo que empecé a trabajar en esta empresa. Nuestra plataforma principal es Plone, pero creo que hicieron algunos proyectos sobre la marcha usando Wordpress en el pasado. Esos sitios se descuidaron y la carga del mantenimiento cayó sobre mí. Sin embargo, no me importa, es la posición de entrada y aprendo mucho a diario. Escanee el sitio con WordFence, escribí algunos scripts de limpieza, cambié todas las contraseñas, eliminé el usuario de administrador forzado (sí, llegó tan lejos), revisé la base de datos, aumenté la seguridad del directorio de carga ... Mientras limpiaba el sitio, Google etiquetó el sitio para contenido malicioso (desagradable gran advertencia roja). Después de completar la limpieza, envié una solicitud para volver a escanear y se eliminó el indicador de advertencia. La fuente de la infestación fue un complemento falso (no tengo idea de quién o por qué lo instaló), y dice que se eliminó con el resto del código infestado.
Desde entonces, el negocio era tan normal como lo permite Wordpress. Todavía tenemos muchos intentos de fuerza bruta; Me imagino que el dominio se agregó a un "registro de sombrero negro", pero está bien, ya que las contraseñas son muy estrictas y he establecido el límite de intentos más la consecuente prohibición de IP.
Bueno, hoy recibí un aviso de WordFence sobre el archivo infestado. Mi presión arterial se elevó como un globo lleno de helio. Después de la investigación descubrí que era un solo archivo:
wp-content / cache / meta / wp-cache-d5959f8ceb4b5dc5c5a03125b3d61348.php
Y nada más fue impactado, parece. Pero no puedo estar seguro hasta que sepa lo que este archivo intentaba lograr. ¿Podría alguien echar un vistazo y tal vez proporcionar un enlace a recursos que describan cómo es posible que alguien cargue este pedazo de ... código no deseado? ¿Estoy tratando con plugin falso de nuevo? He limpiado todo y sellado la puerta trasera :(
He cambiado el dominio a www.somedomain.com.
Perdón por la introducción larga, solo quería aclarar mi posición y descartar las suposiciones acerca de cualquier motivo alternativo; he visto que a alguien más le hace una pregunta similar sin información de fondo.