Киберпреступники внедряют незаметный бэкдор, используя обязательные плагины WordPress (mu-plugins), для получения постоянного административного доступа. Эксперты компании Sucuri обнаружили, что вредоносный код размещается в директории
Атака начинается с файла-загрузчика
«Этот бэкдор дает злоумышленнику постоянный доступ к сайту и возможность запускать любой PHP-код удалённо», — поясняет Пуя Сривастава, исследователь безопасности Sucuri. Полезная нагрузка временно записывается на диск и выполняется, открывая путь для полного контроля.
Злоумышленники внедряют скрытый файловый менеджер
Бэкдор сохраняет устойчивость, автоматически восстанавливаясь после удаления. Он меняет пароли учетных записей
Возможности угрозы включают кражу данных, инъекцию кода для распространения вредоносного ПО, редиректы на фишинговые сайты, дефейсинг и установку дополнительных эксплойтов. «Злоумышленники получают полные права администратора и могут менять поведение вредоноса удалённо через выполнение команд», — добавляет Сривастава.
Для защиты Sucuri рекомендует регулярно обновлять ядро WordPress, темы и плагины. Критически важно внедрить двухфакторную аутентификацию для учётных записей администраторов. Регулярный аудит файлов тем, плагинов и директории
wp-content/mu-plugins, автоматически активируясь на всех сайтах установки. Изображение носит иллюстративный характер
Атака начинается с файла-загрузчика
wp-index.php в папке mu-plugins. Он извлекает удаленную полезную нагрузку, используя обфускацию ROT13, где каждая буква заменяется на 13-ю после неё в алфавите. Полученный код сохраняется в базе данных WordPress, в таблице wp_options, под именем опции _hdra_core. «Этот бэкдор дает злоумышленнику постоянный доступ к сайту и возможность запускать любой PHP-код удалённо», — поясняет Пуя Сривастава, исследователь безопасности Sucuri. Полезная нагрузка временно записывается на диск и выполняется, открывая путь для полного контроля.
Злоумышленники внедряют скрытый файловый менеджер
pricing-table-3.php в директорию темы, позволяя просматривать, загружать или удалять файлы. Создается административный пользователь officialwp, а для маскировки загружается вредоносный плагин wp-bot-protect.php. Бэкдор сохраняет устойчивость, автоматически восстанавливаясь после удаления. Он меняет пароли учетных записей
admin, root, wpsupport и своего пользователя officialwp на стандартный, заданный атакующими. Это блокирует легитимных администраторов. Возможности угрозы включают кражу данных, инъекцию кода для распространения вредоносного ПО, редиректы на фишинговые сайты, дефейсинг и установку дополнительных эксплойтов. «Злоумышленники получают полные права администратора и могут менять поведение вредоноса удалённо через выполнение команд», — добавляет Сривастава.
Для защиты Sucuri рекомендует регулярно обновлять ядро WordPress, темы и плагины. Критически важно внедрить двухфакторную аутентификацию для учётных записей администраторов. Регулярный аудит файлов тем, плагинов и директории
mu-plugins поможет выявить скрытые угрозы.
