Non so in merito al link che indichi ma a questo punto conviene che fai un backup,
Rimuovi i files dall’ftp e li ricarichi exnovo per quanto riguarda WordPress, riguardo invece ai files interni a wp-content
ci vorrebbe da far fare uno scanning e dove è possibile riscaricare nuovamente i plugins ed i temi e caricarli via ftp così che i sorgenti siano puliti.
Per la directory di upload, una ricerca a tappeto di eventuali files che possono contenere scripts php o di altro tipo. Ad esempio verifica che non ci siano files .php
, bash .sh
o che altro al suo interno, non sai mai che tipo di attacco puoi avere, se lato Wp o da un server compromesso. (Ipotizzo).
Una ricerca anche di eval
e/o cose come = $_POST
= $_GET
per eventuali assegnazioni di valori sui files di plugins e temi. Per i files di Wp una volta reinstallati non mi preoccuperei molto.
Il controllo del database è una pratica che dovrebbe essere fatta, quanto meno per capire se il problema risiede anche lì o meno. Se incontri contenuti come ad esempio scripts interni al contenuto del post, la tabella post_content
, url guid
con parametri aggiuntivi non propriamente consoni.
Inoltre per approfondire cercherei anche in rete questa cosa dei files con suffisso .suspected
ed andrei a leggere i forum di supporto dei plugins e del tema in uso.
Una volta reinstallato tutti i sorgenti puliti provvederei all’installazione di WordFence e metterei in sicurezza alcune cose per il CSRF, CSP, aggiunta della lista delle botnet conosciute, fare in modo che la directory di upload non possa eseguire scripts php etc… alcune cose le fai con il plugin sopra indicato altre invece puoi vederle qui https://pastebin.com/u/hackrepair come ad esempio la lista dei bad ip https://pastebin.com/5Hw9KZnW
Successivamente, bloccherei alcune cose di WordPress ad esempio, hai necessità che le rest api siano accessibili? Necessità che XMLRPC sia attivo? Puoi disattivare anche la registrazione da wp-admin con https://wordpress.org/plugins/disable-wp-registration-page/ e/o https://wordpress.org/plugins/disable-register/ che ti previene anche l’accesso e l’invio di query strings alla pagina wp-login.php
.