Falei em um artigo recente dos perigos da utilização de plugins nulled (https://cardoso.work/wordpress-e-o-perigo-dos-plugins-e-temas-nulled/), pois, estes podem vir com backdoors que permitem que um adversário suficiente sofisticado, no caso um APT (https://www.kaspersky.com.br/blog/o-que-e-apt/754/), se infiltre em sua instância wordpress e a utilize para fins escusos.
No caso deste, o malware era bastante sofisticado e infectou diversos arquivos do WordPress e criou arquivos com nomes aleatórios que eram backdoors, para caso houvesse uma substituição dos arquivos do WordPress, ele teria múltiplas rotas de reinfecção.
Foi necessário a utilização de diversas ferramentas e a edição manual de código, além do bloqueio dos ips que faziam as requisições para que fosse possível isolar a ameaça.
Umas das ferramentas utilizadas foram o Sucuri Scanner ( https://br.wordpress.org/plugins/sucuri-scanner/), aliado ao Wordfence Cli (https://github.com/wordfence/wordfence-cli) e ao Ninja Scanner (https://wordpress.org/plugins/ninjascanner/).
Com o uso dessas ferramentas, eu tinha o caminho do arquivo infectado e eu removia o código malicioso ou o excluía, um trabalho demorado, mas, que rendeu frutos.
Então, mesmo que seja possível se livrar de uma ameaça dessa através do trabalho duro, a melhor opção é evitar a utilização de plugins nulled.
