Esse ataque se caracteriza pela inserção de códigos (“injeção de scripts”) específicos que permitem tomar o controle de todo sistema; desde realizar certos processos do site sem a devida autorização a infectar os códigos com rotinas de SPAM, sobrescrita do site ou somente para “derrubar o servidor” mesmo.
Idealize que você possui em seu site uma imagem muito bem produzida e posicionada nas buscas, -como de costume eu faço. Caso algum outro site faça uso dessa imagem inserindo apenas a referência da imagem ao seu servidor, toda requisição feita nesse outro site vai consumir seus recursos.
Começaremos tratando o erro 403 que sugeri acesso negado (sem permissão de acesos ao diretório ou conteúdo). Se você usar algum serviço como hospedagem, muito provavelmente será exibido um erro personalizado do seu provedor de conteúdo.
Nesse arquivo contém informações cruciais e muito sensíveis como conexão do banco, chaves criptografadas, prefixo das tabelas etc… porém, caso um invasor tentasse ter acesso a essas informações, nem se esse acesso fosse realizados diretamente, não conseguiria, o servidor web tentaria executar o arquivo PHP para retornar alguma saída.
Com o procedimento anterior, certificamos que a listagem de diretórios do caminho wp-content/uploads não fosse mais exibida, agora precisamos impedir o uso impróprio dos arquivos do WordPress. Vamos explanar a estrutura de diretório do WordPress para melhor entendermos. Lembrando que caso desejem saber como operam e para que serve detalhadamente cada diretório, consultem o manual do sistema.