Что за файл pclzip.lib.php, который Wordfence считает вредоносным кодом

Ненормально, когда в папке ядра WP появляются дополнительные файлы/папки. Единственное место, которое считается доступным для записи, это wp-content, а наиболее легко доступным для записи является uploads, или любая другая папка, если она была изменена.

Если файл выглядит вредоносным, ведет себя как вредоносный, и инструменты безопасности считают его вредоносным — можно с уверенностью предположить, что так и есть. Также он может не быть вредоносным сам по себе, но использоваться как часть вредоносной нагрузки для вспомогательных целей (открытый исходный код! :).

Похоже, это определенно вредоносный код, маскирующийся под легитимный файл. В ядре WordPress легитимный файл находится по пути /wp-admin/includes/class-pclzip.php, поэтому нет необходимости в его отдельном существовании. Легитимное использование предполагает подключение этого класса из ядра, а не запись его в директорию wp-content без ведома пользователя.

Единственная другая возможность — это то, что он записывается туда плагином или темой, использующей его для загрузок. Однако это крайне маловероятно и представляет собой серьезную угрозу безопасности даже в таком случае, поэтому любой плагин/тема, поступающий подобным образом, должен быть немедленно удален. Скрипты загрузки являются худшими дырами в безопасности, так как их легче всего эксплуатировать. Но содержимое файла даст вам больше подсказок — скорее всего, оно будет выглядеть как бессмысленный код.

Если файл продолжает появляться снова, вы можете изменить права доступа для директории /wp-content/uploader/, сделав ее недоступной для записи. Однако этого может быть недостаточно в зависимости от сложности скрипта, который его создает. Обычно существует другой зараженный файл, который перезаписывает этот, когда он отсутствует.

В итоге, лучше всего начать исследование, как можно быстрее очистить взломанный сайт. Начните с инструмента сканирования, такого как maldetect, и действуйте дальше. Возможно, будет безопаснее и быстрее выполнить чистую переустановку WordPress, всех плагинов и темы, а также добавить больше плагинов безопасности, так как исходная уязвимость все еще неизвестна.

Согласно этой статье, похоже, что этот файл является резервной копией. Вы используете какие-либо плагины для резервного копирования, например Backup Creator или WordPress Back up by BTE?