Бързи новини

Хакери компрометират WordPress сайтове през легитимни плъгини

Иван Гайдаров Send an email 01/04/2025, 17:50
60 чете се за 1 минута

Хакерите използват директорията mu-plugins (Must-Use Plugins) на WordPress, за да стартират зловреден код на всяка страница, като избягват откриването му.

Техниката е забелязана за първи път от Sucuri през февруари 2025 г. Оттогава насам тя става все по-популярна. Към днешна дата хакерите я използват за стартирането на три различни вида зловреден код:

  • redirect.php: Пренасочва посетителите (с изключение на ботове и влезли в системата администратори) към злонамерен уебсайт – updatesnow.net. Той показва фалшив призив за актуализация на браузъра, за да ги подмами да изтеглят зловреден софтуер;
  • index.php: Webshell, който действа като задна врата, като извлича и изпълнява PHP код от хранилище на GitHub;
  • custom-js-loader.php: Зарежда JavaScript, който заменя всички изображения в сайта и превзема всички изходящи връзки, като вместо тях отваря съмнителни изскачащи прозорци.

Случаят с Webshell е особено опасен. Той позволява на нападателите да изпълняват отдалечено команди на сървъра, да крадат данни и да извършват атаки надолу по веригата към членовете/посетителите.

Другите два полезни товара също могат да бъдат вредни. Те накърняват репутацията на сайта и SEO резултатите му заради съмнителни пренасочвания и опит за инсталиране на зловреден софтуер.

Mu-plugin е специален вид плъгин за WordPress, които се изпълняват автоматично при всяко зареждане на страницата, без да е необходимо да бъде активиран в административното табло. Той имат легитимни случаи на употреба, като например налагане на функционалност за целия сайт за персонализирани правила за сигурност, настройки на производителността и динамично модифициране на код.

Този тип плъгини обаче могат да се използват за широк спектър от злонамерени дейности – кражба на идентификационни данни, инжектиране на злонамерен код или промяна на HTML изхода.

Препоръчваме на администраторите на WordPress сайтове да:

  • прилагат актуализации на сигурността на своите плъгини и теми;
  • деактивират или деинсталират тези, които не са необходими;
  • да защитават привилегированите акаунти със силни пълномощия и MFA.
Източник
Bleepingcomputer.com
Тагове
Иван Гайдаров Send an email 01/04/2025, 17:50
60 чете се за 1 минута
Покажи още
Back to top button