Cos'è il file pclzip.lib.php che Wordfence considera codice dannoso

Non è normale che compaiano file/cartelle aggiuntive nella cartella core di WordPress. L'unica posizione considerata scrivibile è sotto wp-content e facilmente scrivibile è uploads, o qualsiasi sia il percorso personalizzato.

Se sembra dannoso, si comporta in modo dannoso e gli strumenti di sicurezza lo identificano come dannoso — è sicuro ipotizzare che lo sia. Potrebbe anche non essere dannoso di per sé, ma utilizzato come parte di un payload dannoso per scopi utilitaristici (open source! :).

Sembra trattarsi senza dubbio di codice malevolo che si maschera da file legittimo. Nel core di WordPress il file legittimo si trova in /wp-admin/includes/class-pclzip.php, quindi non c'è alcun motivo per cui questo debba essere presente come file separato. Gli utilizzi legittimi includerebbero semplicemente questa classe dal core e la utilizzerebbero, non la scriverebbero in una directory all'interno di wp-content senza chiedere.

L'unica altra possibilità è che venga scritto lì da un plugin o tema che lo utilizza per gli upload - ma questo è altamente improbabile e rappresenta comunque un grave rischio per la sicurezza, quindi qualsiasi plugin/tema che facesse ciò andrebbe eliminato. Gli script di upload sono tra le peggiori vulnerabilità di sicurezza, poiché sono i più facili da sfruttare. Ma il contenuto del file dovrebbe darti maggiori indizi - probabilmente sembrerà codice insensato.

Se continua a ricomparire, potresti voler modificare i permessi della directory /wp-content/uploader/ in modo che non sia scrivibile. Ma ciò potrebbe non essere sufficiente, a seconda della complessità dello script che lo scrive. Di solito c'è un altro file infetto che riscrive questo file quando non viene trovato.

In conclusione, è meglio iniziare a ricercare come ripulire un sito hackerato il prima possibile. Inizia con uno strumento di scansione come maldetect e procedi da lì. Potrebbe essere più sicuro e veloce optare per una re-installazione pulita di WordPress e di tutti i plugin e temi, e aggiungere più plugin di sicurezza perché la vulnerabilità originale è ancora sconosciuta.

Secondo questo articolo, sembra che questo file sia un file di backup. Stai utilizzando qualche plugin per i backup, ad esempio Backup Creator o WordPress Backup by BTE?