Я запускаю WordPress на IIS7 на одном из моих серверов. По какой-то причине хакер может изменить права на чтение и запись для всех файлов, а затем вставить тег скрипта в верхнюю строку файла index.php.
С чего мне начать, чтобы понять, как они перезаписывают файлы?
Прежде всего, обновите WordPress до последней версии. Затем отключите все плагины. Это удержит злоумышленников в страхе, пока вы проведете немного больше криминалистики на машине.
Просмотрите свои журналы доступа в поисках запросов во время mtimes рассматриваемых файлов, которые являются либо POST, либо GET с забавными параметрами запроса. Обратите внимание на запрашиваемые URL-адреса и на то, связаны ли они с плагином или с основным кодом, что поможет сузить вектор атаки. Затем вы можете повторно включить плагины, которые не связаны с проблемой (после повторного обновления их до последней версии, чтобы минимизировать риск).
Оттуда все зависит от того, что вы нашли ранее и сколько навыков у вас есть. Вы можете поиграть в приманку и попытаться получить больше информации о том, что замышляют злоумышленники, но я предполагаю, что у вас, вероятно, будет тяжелая битва по этому поводу, исходя из вашего очевидного уровня опыта. Общий совет - просто будьте в курсе обновлений, следите за объявлениями WordPress об обновлениях безопасности и молитесь, чтобы вас не поразил нулевой день.