Ce este fișierul pclzip.lib.php pe care Wordfence îl consideră cod rău intenționat

Nu este normal să apară fișiere/dosare suplimentare în folderul de bază al WordPress. Singura locație care este considerată scriabilă este sub wp-content, iar cea care este ușor scriabilă este uploads, sau orice altceva a fost personalizat să fie.

Dacă pare rău intenționat, se comportă suspect și instrumentele de securitate îl consideră rău intenționat — este o presupunere sigură că chiar este. De asemenea, este posibil să nu fie rău intenționat în sine, dar să fie folosit ca parte a unei sarcini malicioase în scopuri utilitare (open source! :).

Pare clar că este un cod rău intenționat care se maschează ca un fișier legitim. În nucleul WordPress, fișierul legitim se află la /wp-admin/includes/class-pclzip.php, așadar nu este nevoie să existe ca fișier separat. Utilizările legitime ar include clasa din acest fișier de bază și ar folosi aceea, nu ar scrie un fișier într-un director din wp-content fără permisiune.

Singura altă posibilitate este să fie scris acolo de un plugin sau o temă care îl folosește pentru încărcări - dar acest lucru este foarte puțin probabil și reprezintă un risc major de securitate chiar și în acest caz, așadar orice plugin/temă care face asta ar trebui eliminat. Scripturile de încărcare sunt printre cele mai mari vulnerabilități de securitate, fiind ușor de exploatat. Dar conținutul fișierului ar trebui să ofere mai multe indicii - probabil va arăta ca un cod haotic.

Dacă continuă să reapară, poți încerca să modifici permisiunile directorului /wp-content/uploader/ astfel încât să nu fie scriabil. Dar acest lucru poate sau nu să fie suficient, în funcție de complexitatea scriptului care îl scrie. De obicei, există un alt fișier infectat care rescrie acest fișier când nu este găsit.

Concluzia este că cel mai bine este să începi să cercetezi cum să cureți un site hackuit cât mai repede. Începe cu un instrument de scanare precum maldetect și continuă de acolo. Poate fi mai sigur și mai rapid să faci o reinstalare curată a WordPress și a tuturor pluginurilor și temei, și să adaugi mai multe pluginuri de securitate, deoarece vulnerabilitatea originală este încă necunoscută.

Conform acestui articol, se pare că acest fișier este un fișier de backup. Folosești vreun plugin pentru backup-uri, cum ar fi Backup Creator sau WordPress Backup by BTE?