← Wszystkie porady

Podejrzane pliki PHP w katalogu głównym WordPress

Co to oznacza

Jeśli w katalogu głównym Twojej instalacji WordPress znajdują się pliki PHP, które nie należą do standardowej instalacji, mogą stanowić zagrożenie. WordPress ma ściśle określoną listę plików w katalogu głównym (index.php, wp-config.php, wp-login.php, wp-cron.php itd.). Każdy dodatkowy plik PHP wykraczający poza tę listę powinien wzbudzić podejrzenie.

Mogą to być pliki testowe pozostawione przez dewelopera, ale mogą to być również backdoory, webshelle lub inne złośliwe skrypty.

Jakie jest ryzyko

  • Backdoor / webshell — atakujący po przejęciu strony często umieszczają plik PHP w katalogu głównym, który daje im trwały zdalny dostęp do serwera. Nawet po zmianie haseł i aktualizacji, backdoor pozostaje.
  • Pliki testowetest.php, info.php, phpinfo.php ujawniają konfigurację PHP, ścieżki, wersje modułów i zmienne środowiskowe. To kopalnia informacji dla atakującego.
  • Plik uploadera — prosty skrypt PHP umożliwiający wgrywanie plików na serwer bez autoryzacji.
  • Spam/SEO injection — pliki generujące strony z linkami spamowymi, niewidoczne dla właściciela strony, ale indeksowane przez wyszukiwarki.

Jak to naprawić

  1. Zidentyfikuj pliki — sprawdź, czy wiesz, do czego służy każdy niestandardowy plik PHP w katalogu głównym.
  2. Sprawdź zawartość — otwórz podejrzane pliki i przeanalizuj kod. Typowe oznaki malware:
    • Zaciemniony kod (base64_decode, eval, str_rot13, gzinflate)
    • Długie ciągi znaków zakodowanych w base64
    • Funkcje: exec(), system(), passthru(), shell_exec()
  3. Usuń niepotrzebne pliki — wszystko, czego nie rozpoznajesz lub czego nie potrzebujesz na produkcji.
  4. Porównaj z czystą instalacją — pobierz świeżą paczkę WordPress tej samej wersji i porównaj listę plików w katalogu głównym.
  5. Jeśli znajdziesz malware — przeprowadź pełny audyt: sprawdź pozostałe katalogi, bazę danych, konta użytkowników i logi dostępu.