Últimamente, WordPress fue testigo de una situación peligrosa cuando descubrió un código malicioso agregado a la parte superior del archivo functions.php , explotando que el creador de malware puede desatar casi cualquier daño que desee. El código inyectado proviene del malware apiword que no solo crea modificaciones en post.php y funciones .php, sino que también crea un archivo que contiene una puerta trasera: /wp-includes/class.wp.php
La presencia del archivo functions.php es esencial para que WordPress reconozca cualquier tema y, por lo tanto, se ejecuta durante cada vista de página. Esto lo convierte en un buen objetivo para un código malicioso.
Eliminación del hack de malware PHP / apiword
La mitigación de este malware requiere una eliminación completa de todos los códigos de puerta trasera de todos y cada uno de los archivos function.php en el directorio de temas del sitio. Es imprescindible implementar la siguiente lista de verificación:
- Verifique en cada archivo functions.php el código malicioso. El código en cuestión se encontraría dentro del primer <? php?> bloque en el archivo PHP, de ahí la necesidad de eliminar este bloque por completo.
- Retire inmediatamente el inyector de código , en caso de que aún exista. Por ejemplo, en el caso del complemento woocommerce-direct-download , el inyector de código estaba contenido en un archivo llamado woocp.php. Por lo tanto, debe ser eliminado.
- Busque las tablas <wp_prefix> _datalist y <wp_prefix> _install_meta. Tome nota de esto, ya que esto podría ayudar a encontrar publicaciones que hayan sido modificadas. A partir de entonces, asegúrese de eliminar estas tablas.
- Escanee todas las publicaciones para la variable de firma “wp_cd_code” y elimine este DIV para cada publicación afectada.
- Verifique los archivos modificados recientemente en el servidor. Inicie sesión en su servidor web a través de SSH y ejecute el siguiente comando para buscar los archivos modificados más recientemente: find / path-of-www -type f -printf ‘% TY-% Tm-% Td% TT% p \ n’ | sort -r