Когда-то слово хакер звучало действительно гордо. А сейчас… Сейчас любой албанец, вчера трахавший козу, а сегодня увидивший комп и пиратский перевод журнала «Ксакеп» на албанский, нарывши в гугле кем-то написанный эксплоит  и php-шелл, считает себя крутым хакером и ломится всех «хакать» и чето там доказывать.

Вот, например, вчера утром я вычишал с этого блога шелл какого-то албанского мудака, который решил бороться с сербами на их территории, судя по файлику дефейса, который он так и не успел поставить (или не смог? шелл то просто дает доступ, там нет кнопки «взломать сайт», я проверял). Ну чуток промахнулса, быват

А дырка была в плаге «WordPress Downloads Manager» верии 0.2 от Giulio Ganci. Верне не дырка, а дырища — ничем не прикрытый загрузчик файлов, а уж как такой подарок использовать, никого учить не надо. За такие чудеса, вообще-то, программерам руки меняют местами с ногами. Ибо в заднице им самое место, а такую голову можно и ногой почесать 

Так что кто использует этот плаг или обновляйтесь (но не факт что дырка закрыта в свежей версии), или переименовывайте upload.php в папке плагина во что-нибудь нейтральное (и соответственно правьте downloads-manager.php, строка  417) или просто удаляйте его нафиг, и грузите файлы вручную.

P.S. Кстати, чуток поискав в инете я нашел и эксплоит использующий эту дырку. Да, на сайте ксакепа, где-ж еще

P.S.S. Я таки обновил WPDM. Насчет рук я был не прав, там хвост рубить надо. Причем по самые уши! Некоторым людям просто не давно быть программистами. Им в ассенизаторы надо, причем в водолазы-ассенизаторы