На клиентском сайте, в одночасье, вдруг появились вкрапления ключевиков казиношной тематики, раскиданные произвольно по тексту, а также выводящиеся в хедере, при логине в систему.
Первой мыслью было, что ломанули, как обычно это бывает, FTP или логин в админку сайта, но все файлы не изменялись аж с начала сентября, а тексты в админке, находились в первозданном виде.
Так что пришлось обращаться в прогеру, который убил ночь на поиски точки входа.
Оказалось, что виной всему плагин Revolution Slider, на основе которого и замучен сайт. При использовании функции apply_filters( ‘the_content’ … ); он накидывает в текст ссылок, подтягивающихся не понятно откуда.
Полез смотреть, что пишут- оказалось, что действительно, в начале сентября кулхацкеры нашли уязвимость плагина Revolution Slider версии < 4.1.4
Уязвимость дает доступ хакерам к файлу wp-config.php, содержащему логины к базе данных, через которую уже, в свою очередь, можно скомпрометировать весь сайт.
Основная проблема не в самом плагине, т.к. если вы его покупали напрямую, то можете обновиться без проблем, а в том, что он используется во множестве тем для WordPress и как следствие идет в поставке в старой версии, т.к. создатели тем, не столь же оперативны, как разработчики плагина, которые пофиксили эту уязвимость еще в феврале, выпустив версию 4.2.