Говорят что кур доят.. А я в который раз покажу https://wordpress.com
Всё бы вам в кеши лезть.. Чтобы в них лезть - нужно понимать что где и как.
Для этого не движок нужно выбирать, а специалистов, которые реализуют ТЗ.
Чем отличаются специалисты от нубов - они никогда не спрашивают "на чем сделать?". (Справедливости ради - есть и нубы которые не спрашивают, но смело лепят, а потом.. сливаются)
Мечты, ессно :)
ClamAV? Это убогий антивирь. С ложными срабатываниями и пропусками опасностей.
Айболит значительно получше (в параноидальном режиме), но тоже не панацея.
Самое простое (но не 100%ное) - это заменить все файлы движка и компонентов, скачанные из оф сайта. Но не с заменой существующих, а с удалением каталогов.
Вот тут я писал про ВП, но аналогичные рекомендации и для пересташопа можно использовать.
Другой способ - это другой плагин. Хоть готовый (проверенный и безопасный), хоть самописная кривая поделка (хоть она же - в теме).
Или переписать ядро и забыть про все обновления.
Или поиграться с ЧПУ и/или вручную задавать аттачментам префикс в имени файлов (что вылезет в слаги), по которому делать кривой редирект. Тут "всего-то" не забывать про ручной префикс.
Или вручную менять слаги страницам вложений и .. см выше :)
А плагинофобия легко лечится изучением матчасти.
Даже не вздумай! В конфиг заглянуть не можешь, что говорить за знание АПИ и ВП и WC. А залезешь в базу мимо АПИ - угробишь нафик сайт.
(Впрочем ты угробишь его раньше - уже при переносе на свой хостинг..)
Наполнение/редактирование товарами элементарное - через импорт csv или даже эксель-подобные таблицы в админке (с пом плагинов)
Это был не сам червяк, а только его экскременты.
Их тут несколько раз повторили.
Попробую и я своими словами: если ДЫРА не устранена, то СЛЕДСТВИЕ (а именно оно было почищено) появится снова. Может быть другое, в другим месте/виде, но появится - 99,(9)%.
А дыра по всей видимости НЕ устранена.
Вот слился так слился. Это прелЭстно.. попукал мимо горшка и пошел... :)
Даже не представляю как это возможно.
Но если тебе такое понадобилось - всё говорит за непродуманную структуру контента.
И что ты этим хотел сказать? Слышал звон да не понял про что звонит? 🍿
Опять слышал звон испугался апача? Да, он жив и будет жить. Узнай про LSAPI хотя бы.
Но для хайлоад его конечно не юзают.
Беги!!! Беги от таких дебилов подальше. Это же надо - ломать работу пользовательских сайтов. Это не работа хостера! Они fail2ban (или что-то подобное) не в состоянии настроить, а лезут в сайты юзеров.. школота, блин. Железный признак школоты!
И держись подальше от всех неучей, кто советует "отключить xmlrpc.php", "сменить адрес входа" и тп ересь. Этим только наживёшь разных проблем.
А чтобы пароль не брутили - достаточно поставить ограничения на wp-login.php (но не на wp-admin !). Напр. доп. пароль с http-авторизацией.
Могут. Но это вовсе не значит что "должны".
Для сайта (точнее движка) с динамически генерируемыми страницами лучше привести к единообразию. Как минимум одинаковые типы страниц.
