После заражения сайта и лечения, стал автоматически создаваться файл. Кто знает, как это побороть?

Файл формата Netscape HTTP Cookie File, который генерируется libcurl, почти наверняка создаёт не браузер и не WordPress сам по себе, а какой-то PHP-скрипт/плагин, который использует cURL с cookie jar. После заражения это может быть как остаток вредоносного кода, так и легитимный парсер/интеграция, который пишет cookies в корень сайта.

Сначала нужно понять, кто создаёт файл. Не удаляйте его бесконечно вручную — он будет появляться снова, пока жив источник.

Проверка:

1. Посмотрите дату и время создания файла.
2. Сравните с access/error log сервера за эту минуту.
3. Поищите по файлам сайта вызовы CURLOPT_COOKIEJAR и CURLOPT_COOKIEFILE.
4. Проверьте wp-content/mu-plugins, плагины, тему, uploads на PHP-файлы.
5. Проверьте cron-задачи WordPress и системный cron.

Поиск по проекту:

grep -R "CURLOPT_COOKIEJAR|CURLOPT_COOKIEFILE|curl_setopt" wp-content/

Если есть SSH, лучше:

find wp-content -type f -name "*.php" -print0 | xargs -0 grep -n "CURLOPT_COOKIEJAR|CURLOPT_COOKIEFILE"

Если файл создаётся в корне сайта, это плохой признак. Нормальный код должен писать временные файлы в безопасную временную директорию, а не рядом с WordPress. Для легитимного кода путь должен быть примерно таким:

$cookie_file = wp_tempnam('curl-cookies-');
curl_setopt($ch, CURLOPT_COOKIEJAR, $cookie_file);
curl_setopt($ch, CURLOPT_COOKIEFILE, $cookie_file);

После заражения обязательно проверьте не только плагины, но и папку uploads на PHP-файлы. Очень часто вредоносные загрузчики лежат именно там. Также проверьте неизвестные админские аккаунты, задачи cron, изменённые .htaccess, странные файлы в корне и свежие изменения в теме.

Итог: файл создаёт cURL-код. Найдите конкретный вызов CURLOPT_COOKIEJAR или процесс по времени создания. Если это неизвестный код — сайт недолечен. Если это ваш парсер — перенесите cookie-файл во временную директорию и закройте доступ извне.