具体的にWordpress が改ざんされる方法を調べてみました
ここでは、以下のドメインを使用しています。
- qiita.com - 正常なリンクの例
- example.org - 異常なリンクの例
Wordpressのシステム、及び wp-config.phpを書き換える
テーマのaリンクの書き換える
original.html
<a href="https://qiita.com/">Qiita</a>
cracked.html
<a href="https://qiita.com/">Qiit</a><a href="http://example.org/">a</a>
テーマに勝手にaリンクを追加する
original.html
© 2011-2022Qiita Inc.
cracked.html
© 2011-2022Qiita Inc<a href="http://example.org/" style="text-decoration:none">.</a>.
簡易対策方法
「アップグレードされない、自作のテーマ」の
*.php や .css、.js をすべて shaでハッシュを取り、
それをcrontabで毎日shaを取り直して、diffして違ってたら
クラッキングされてるのでは?と判別できるのかもしれない