האקרים מנצלים באופן קבוע תוספי וורדפרס פגיעים כדי לסכן אתרי וורדפרס ולהפנות מבקרים לאתרי ספאם והונאה. זוהי מלחמה המתמשכת כבר שנים רבות. דומיינים מזוייפים מוחלפים ומתעדכנים באופן קבוע, אבל המטרה נשארת זהה: להערים על משתמשים תמימים ללחוץ על קישורים זדוניים כדי להפיץ תוכנות פרסום ולדחוף פרסומות מזויפות לשולחן העבודה של הקורבן. אתר SUCURI מדווחים כי הווריאציה העדכנית ביותר של פירצת אבטחה זו באתרי וורדפרס כוללת את הדומיין: specialadves[.]com.

במאמר זה נסקור כיצד להסיר תוכנות זדוניות מיוחדות מאתר וורדפרס. יש לציין כמובן, כי ישנן מספר וריאציות של פרצת אבטחה זו. חשוב מאד!: בצעו תמיד גיבוי מלא של אתר וורדפרס לפני ביצוע שינויים ידניים! זה כולל גם את הקבצים וגם את מסד הנתונים! בדרך זו נשמר גיבוי במקרה שמשהו באתר מתקלקל או אם הנוזקה אינה מוסרת כהלכה.

מספר קבצים באתר וורדפרס שנרצה לשים לב אליהם במיוחד: wp-blog-post.php, wp-blockdown.php, wp-content/uploads/wp-blockdown.php, _a. הסקריפט wp-blog-post יהיה אחראי להחדרת תוכן ה-JavaScript הספאמי למסד הנתונים. במידה ונמצאו בין קבצי אתר וורדפרס, יש למחוק את הקבצים הללו ממערכת הקבצים של האתר.

אנשי SUCURI מציינים כי ראו מספר אתרי וורדפרס עם JavaScript מוזרק המצורף לחלק העליון של קובץ ה- index.php הראשי בתיקיית השורש של וורדפרס. במקרה זה, יש להסיר את ה- JS המוזרק מהחלק העליון של קובץ האינדקס כדי למנוע את ההפניה מחדש לאתרי הספאם.

יתר על כן, כמה גרסאות של הזרקה זו שינו את קובץ הליבה של וורדפרס: wp-blog-header.php ויצרו הפניות לאתרי ספאם. יש לנקות את הקובץ ויש לזכור כי כל עוד ההפניה אליו מוסרת מקבצי הליבה של אתר הוורדפרס, זה אמור להספיק כדי לעצור את ההפניה מחדש. כמו כן, קיימת תמיד אפשרות להחליף קובץ זה בעותק מקורי של הקובץ שהורד מהאתר הרשמי של וורדפרס.

כמה וריאציות של זיהום זה ישפיעו גם על קובץ הליבה: wp-includes/js/wp-emoji-release.min.js. זיהום זה משתמש בערפול נפוץ מאד כדי להמיר מספרים למחרוזת טקסט והוא מעורב באותן הפניות מחדש לאתרי ספאם. יש להסיר את התוכן המעורפל בסוף הקובץ, או שאפשר להחליף את הקובץ כולו בעותק חדש.

אותו JavaScript מזויף מוזרק לעתים קרובות לבסיס הנתונים של אתר וורדפרס. נוטות להיות לא מעט הזרקות, כך שהדרך הקלה ביותר להסיר אותן היא באמצעות פקודת חיפוש פשוטה או החלפה של SQL באמצעות PHPMyAdmin. אתר וורדפרס העושה שימוש בקידומת מסד נתונים שאינה wp_ או אם ה-JavaScript המוזרק שונה במקצת – ניתן להתאים את פקודת ה-SQL בהתאם.

בחלק מאתרי וורדפרס שנפרצו, הוכנס משתמש אדמין מזויף לקובץ functions.php של ערכת העיצוב הפעילה. במצב זה יש להסיר את השורה המעורפלת המכילה base64_decode ולהקפיד לבדוק את רשימת בעלי ההרשאות לניהול האתר ולמחוק מנהלים בלתי מזוהים. לפעמים תוקפים מסוגלים להסתיר חשבונות ניהול מהעין, כך שמומלץ לבדוק ידנית את טבלת wp_users באמצעות PHPMyAdmin.