Hola,

El sitio está comprometido. 
Alguien de ip 95.181.172.134 agregó código malicioso al archivo wp-content / plugins / akismet / akismet.php. 
Consulte el registro de acceso correspondiente en https://paste.privatesystems.net/pastes/0adaeb09c12550acff80975a70f22d78

Creé una copia de seguridad del archivo wp-content / plugins / akismet / akismet.php como wp-content / plugins / akismet / akismet_infect.php 
y eliminé el código malicioso de wp-content / plugins / akismet / akismet.php. 
Parece que el pirata informático también agregó un usuario administrador de WordPress.
-------------
mysql> seleccionar * de wp_users;
+ ---- + ------------- + ------------------------------ ------ + --------------- + --------------------------- ---- + ---------- + --------------------- + ------------ ----------------------------------- + ------------- + ------------------------- +
| ID | user_login | user_pass | user_nicename | user_email | user_url | user_registered | user_activation_key | user_status | display_name |
+ ---- + ------------- + ------------------------------ ------ + --------------- + --------------------------- ---- + ---------- + --------------------- + ------------ ----------------------------------- + ------------- + ------------------------- +
| 1 | adminxx | $ P $ BFPfJqGNNVRk9B4l.uvfBwgrSG2yZB0 | rcontreras | jleon@necpnp.pe | | 2018-12-10 14:25:59 | | 0 | jleon |
| 13 | necpnp | $ P $ B4cxWdCe6PB6FddoihraQGf5Y5hms // | necpnp | jleon@necpnp.pe | | 2020-03-06 17:01:56 | | 0 | necpnp |
| 14 | deltonsun | $ P $ B6hTXgeNJbUdQeOxS.ikMVRiaXLywU1 | deltonsun | postmaster@deliveryforfun.com | | 2020-07-05 22:37:09 | | 0 | deltonsun |
| 15 | bbajdwzgeix | $ P $ B1EkrpQZ4cC9ZW6773ZRYEm32StUQt / | bbajdwzgeix | dtcvigkkhh@mail.com | | 2020-11-22 21:56:18 | 1606082179: $ P $ BA / 38o7OSMWmkd / 4Knr.mGO2lbCujC. | 0 | bbajdwzgeix bbajdwzgeix |
-----------------
Mantener actualizado el código del sitio principal es muy importante, aunque no es suficiente para garantizar que un sitio no se vea comprometido.

Incluso para un sitio nuevo, además de asegurarse de que no solo el CMS principal, sino también cada complemento, tema u otro complemento se mantenga completamente actualizado en todo momento, también es necesario asegurarse de que confía en cada uno de sus respectivos desarrolladores deben seguir prácticas de codificación seguras y estar atentos a las nuevas vulnerabilidades que puedan descubrirse, y que usted confía en ellos para escribir y distribuir los parches de seguridad necesarios con la suficiente prontitud. Incluso si todos los complementos están usando sus últimas versiones, aún podrían ser vulnerables si sus desarrolladores no prestan atención y no escriben las actualizaciones necesarias.

También es muy importante asegurarse de que todas y cada una de las contraseñas, independientemente del tipo de cuenta (por ejemplo, contraseñas de sitios, contraseñas de bases de datos, contraseñas de FTP, contraseñas de correo electrónico, contraseñas de usuario, etc.) sean largas, aleatorias y únicas. Puede obtener más información sobre cómo elegir buenas contraseñas aquí:
===
https://www.knownhost.com/wiki/security/misc/how-can-i-generate-a-secure-random-password
===

O, para contraseñas más fáciles de recordar, puede resultarle útil:
===
https://ssd.eff.org/en/module/creating-strong-passwords
===

También se recomienda encarecidamente mantener cada sitio por separado en una cuenta de usuario separada. 
Tenga en cuenta que es posible tener una cuenta de usuario cuyo "dominio principal" sea un subdominio 
(siempre que ese subdominio no esté ya en uso como subdominio en otra cuenta de usuario). 
Dado que una vez que un sitio se ve comprometido, es mucho más fácil para los atacantes comprometer a su vez los otros sitios en la misma cuenta de usuario, 
mantener los sitios en cuentas separadas puede ayudar a proteger cada sitio de posibles vulnerabilidades eventuales en los otros sitios. 
Recomiendo encarecidamente tener cada sitio por separado en una cuenta de usuario separada.

Todas las recomendaciones anteriores se aplican a cualquier sitio, tanto si se sospecha que está comprometido antes como si no. 
Si se sospecha que un sitio ya ha sido comprometido, hay cosas adicionales que también deben hacerse antes de que se pueda confiar en él. 
Debido al acceso que los atacantes obtienen comúnmente cuando un sitio ha sido comprometido, cualquier información en cualquier archivo, 
carpeta o base de datos en toda la cuenta de usuario debe considerarse conocida por los atacantes y posiblemente modificada por los atacantes.

Por esta razón, para una cuenta de panel que ya se ha visto comprometida, es necesario verificar con mucho cuidado el contenido completo de todos y cada uno de los archivos, carpetas y bases de datos: busque cualquier cosa fuera de lugar. Algunas cosas comunes a buscar incluyen (pero no se limitan a) archivos nuevos que no deberían estar presentes, código nuevo agregado a archivos existentes, código inyectado en entradas de base de datos o cuentas administrativas adicionales agregadas al sitio.

También es necesario crear nuevas contraseñas para cada cuenta (sitio, MySQL, FTP, correo electrónico, usuario, etc.), ya que es muy probable que los atacantes hayan encontrado algunas de las contraseñas anteriores, incluso si su exploit inicial no requería encontrarlos.
