¿Qué es el archivo pclzip.lib.php que Wordfence considera código malicioso?

No es normal que aparezcan archivos/carpetas adicionales en la carpeta principal de WordPress (WP core). La única ubicación que se considera escribible es bajo wp-content y fácilmente escribible es uploads, o cualquier nombre personalizado que tengan.

Si parece malicioso, se comporta como malicioso y las herramientas de seguridad lo identifican como malicioso — es seguro asumir que lo es. También podría no ser malicioso en sí mismo, pero utilizado como parte de una carga maliciosa con fines de utilidad (¡código abierto! :).

Parece que definitivamente es código malicioso haciéndose pasar por un archivo legítimo. En el núcleo de WordPress, el archivo legítimo está en /wp-admin/includes/class-pclzip.php, por lo que no hay necesidad de que exista como un archivo separado. Los usos legítimos simplemente incluirían esta clase del núcleo y la usarían, no la escribirían en un directorio dentro de wp-content sin permiso.

La única otra posibilidad es que esté siendo escrito allí por un plugin o tema que lo use para subidas, pero eso es muy improbable y, en cualquier caso, representa un gran riesgo de seguridad, por lo que cualquier plugin o tema que haga eso debería eliminarse. Los scripts de subida son uno de los agujeros de seguridad más peligrosos, ya que son los más fáciles de explotar. Pero el contenido del archivo debería darte más pistas, probablemente parezca código basura.

Si sigue reapareciendo, podrías cambiar los permisos del directorio /wp-content/uploader/ para que no sea escribible. Sin embargo, eso podría no ser suficiente, dependiendo de la complejidad del script que lo esté generando. Generalmente, hay otro archivo infectado que está reescribiendo este archivo cuando no lo encuentra.

En resumen, lo mejor es comenzar a investigar cómo limpiar un sitio hackeado lo antes posible. Empieza con una herramienta de escaneo como maldetect y continúa desde ahí. Puede ser más seguro y rápido hacer una reinstalación limpia de WordPress, todos los plugins y el tema, y agregar más plugins de seguridad, ya que la vulnerabilidad original sigue siendo desconocida.

De acuerdo con esta publicación, parece que este archivo es un archivo de respaldo. ¿Estás utilizando algún plugin para copias de seguridad, como Backup Creator o WordPress Back up by BTE?