Não (apenas) Magento
Eu já vi muitos outros sites invadidos dessa maneira, inserindo código malicioso na base de código, e não apenas no Magento. E existem muitas variantes: scripts que roubam dados POST, scripts que adicionam XSS, scripts que tentam roubar senhas de raiz, scripts que permitem chamadas recebidas para processar dados (para mineração de Bitcoin, para enviar e-mails de spam desse servidor), etc.
Em alguns casos, a causa foi roubada credenciais de FTP (por vírus / malware) de um computador cliente; em outros casos, ela utilizou uma exploração no aplicativo.
Existem muitos outros aplicativos que podem fornecer acesso ao servidor através de explorações, por exemplo, WordPress.
Há apenas um caso em que o Magento seria o culpado e uma ação do Magento é esperada, ou seja: se o aplicativo explorado fosse o Magento da versão mais recente e totalmente corrigido.
Portanto, há apenas uma pequena chance de que este caso destacado tenha sido causado por uma falha no Magento em primeiro lugar. É por isso que você não ouve nada do Magento.
A novidade aqui é que o código inserido está visando especificamente o Magento e usando a arquitetura e os princípios do código do Magento.
O que fazer
Agora, para dar uma resposta à sua pergunta "O que fazer contra isso?"
Nunca execute dois aplicativos diferentes na mesma instância do servidor,
como o WordPress + Magento. Às vezes, você vê o WordPress rodando como em www.magentoshop.com/blog/ ou o Magento em www.wordpresswebsite.com/shop/. Não faça isso. Explorações no WordPress podem dar ao invasor acesso aos seus dados Magento.
Use um sistema de controle de versão
Estou usando o GIT e também o tenho no servidor (acesso somente leitura) para implantar o site. Isso também me fornece uma visão rápida das alterações no sistema executando git status
.
Nunca use FTP, apenas SFTP, nunca armazene senhas
que mencionei acima que as senhas de FTP foram roubadas de um computador cliente. O uso do FTP também não é seguro, pois envia dados não criptografados pela Internet. Portanto, use SFTP e nunca armazene suas senhas em seu aplicativo FTP, apenas não seja preguiçoso e digite-as sempre que se conectar ao seu servidor.