Script de nettoyage pour les sites WordPress infectés par la vague d'attaque de juillet 2014

rescue.php

<?php 
// code à insérer dans un fichier déposé à la racine de l'intallation
// regardez aussi s'il n'y a pas une image wordpress1.jpg, dans votre dossier uploads,  à supprimer
// et bien sur changer tous les mots de passe après ^^
// et même, c'est pas sur que cela soit suffisant

function rglob( $pattern = '*', $path = '', $flags = 0 ) {
   $paths = glob( $path . '*', GLOB_MARK|GLOB_ONLYDIR|GLOB_NOSORT);
   $files = glob( $path . $pattern, $flags );
   foreach ( $paths as $path ) {
      $files = array_merge( $files, rglob( $pattern, $path, $flags ) );
   }
   return $files;
}

$pattern = '';//mettre ici la chaine à supprimmer, présente dans les fichiers php de votre site; (placer un backslash devant les apostrophes)

$resultats = array();
$total = array();
foreach ( rglob( '*.php', dirname(__FILE__) ) as $file ) {
	$total[] = $file;
	if ( "licence.php" == basename( $file ) ) {
		unlink( $file ); //supprime tous les fichiers licence.php
	} else {
	   $contents = file_get_contents( $file );

    if( strpos( $contents, $pattern ) !== false ) { // si la chaine est trouvée...
      $resultats[] = $file;
      $contents = str_replace( $pattern, '', $contents ); // ...la supprimmer
		  file_put_contents( $file, $contents );
    }
	}
}

$nb = count($resultats);
var_dump( $nb, count( $total ) );

Il faut aussi penser à supprimer l'utilisateur qui s'est probablement ajouté, et également à supprimé (si vous avez mailpoet) le nouveau thème mailpoet vérollé, dans le dossier uploads.