Многие блоггеры, следящие за уровнем безопасности своих wordpress-блогов, знают, что около месяца назад была найдена уязвимость в движке Wordpress, позволяющая сбросить пароль администратора блога несложным HTTP-запросом. Уязвимость актуальна для движка версии до 2.8.3 включительно. Однако немногие обновляют свои блоги своевременно. Именно на блоги таких пользователей и направлен новый Wordpress-вирус. Вирус работает примерно так (мой вольный перевод)) ): регистрирует новую учетную запись пользователя, использует уязвимость для выполнения кода через структуру ЧПУ (человеко-понятные УРЛы, они же “постоянные ссылки”, они же permalinks), найденную ранее, повышает свои права до администраторских. Затем использует JavaScript для того, чтобы спрятать себя из списка пользователей. В процессе выполнения вирус спамит ваши старые посты. Далее вирус пытается почистить за собой по окончании работы.

Присутствие вируса сложно обнаружить, тем более если он ещё ничего не опубликовал. Для обнаружения нужно проверить фид permalinks/rss на присутствие кода:

%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/

или

"/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_EXECCODE%5D))%7D%7D|.+)&%

или ошибки

error on line 22 at column 71: xmlParseEntityRef: no name wordpress

Если такой код присутствует или фид “сломан”, то блог инфицирован. Здесь можно почитать, как избавиться от заразы, а здесь — как обновиться. Ну а вот тут — как обезопасить свой блог от “набегов” подобной гадости))