WordPress притворяется, что всё ок. Пока скрытый скрипт стирает пароли и выдавливает вас из системы
NewsMakerУдаляешь вирус, он возвращается. Добро пожаловать в ад для вебмастера.
Исследователи обнаружили скрытую закладку в WordPress, маскирующуюся под системный файл в директории `mu-plugins` — особом разделе, где размещаются обязательные модули. Такой подход позволяет злоумышленникам закрепиться на сайте, незаметно получив полный контроль и возможность выполнять произвольный PHP-код.
Му-плагины (must-use plugins) активируются автоматически при каждом запуске сайта и не отображаются в стандартном интерфейсе администрирования WordPress. Их нельзя отключить с панели управления — единственный способ избавиться от модуля — физически удалить файл из папки `wp-content/mu-plugins`. Именно это делает механизм особенно привлекательным для вредоносных внедрений .
Инфекция, обнаруженная экспертами из компании Sucuri, использует PHP-скрипт `wp-index.php` в директории обязательных плагинов в качестве загрузчика. Этот скрипт извлекает удалённый вредоносный компонент и размещает его в базе данных, в таблице `wp_options`, под именем `_hdra_core`.
Чтобы усложнить анализ, адрес, с которого подгружается вредонос, зашифрован с помощью алгоритма ROT13 — простой схемы подстановки, при которой каждая буква заменяется на находящуюся через 13 позиций в алфавите (например, A превращается в N, B — в O, и так далее).
После загрузки вредоносный код временно записывается на диск и тут же исполняется. Это даёт атакующим постоянную точку входа и позволяет выполнять удалённые команды. В частности, в директорию темы внедряется файловый менеджер под именем `pricing-table-3.php`, с помощью которого можно просматривать содержимое сервера, выгружать или удалять любые файлы.
Дополнительно создаётся новый администратор под именем `officialwp`, после чего на сайт загружается и активируется поддельный плагин `wp-bot-protect.php`. Этот элемент позволяет восстановить закладку даже после удаления первичного кода. Вредонос также умеет подменять пароли у часто используемых учётных записей с правами администратора, включая `admin`, `root`, `wpsupport` и собственную `officialwp`, задавая им единый пароль, заранее определённый злоумышленником.
Такой механизм не только обеспечивает устойчивый доступ к системе, но и позволяет полностью вытеснить легитимных администраторов, заблокировав им возможность восстановить контроль. Отсюда открывается широкий спектр сценариев — от скрытого встраивания вредоносных скриптов до перенаправления трафика на мошеннические ресурсы.
Как подчёркивает исследователь Пуджа Сривастава, такая схема сочетает в себе удалённое выполнение команд, подмену содержимого и возможность динамически изменять поведение вредоносного кода в зависимости от задач атакующих. Это делает её крайне опасной и гибкой.
Для снижения риска подобных атак администраторы должны регулярно обновлять ядро WordPress, шаблоны и все подключённые модули , использовать двухфакторную аутентификацию для учётных записей с повышенными правами и периодически проверять содержимое директорий с темами и плагинами — включая скрытые или нестандартные элементы, вроде `mu-plugins`.
Исследователи обнаружили скрытую закладку в WordPress, маскирующуюся под системный файл в директории `mu-plugins` — особом разделе, где размещаются обязательные модули. Такой подход позволяет злоумышленникам закрепиться на сайте, незаметно получив полный контроль и возможность выполнять произвольный PHP-код.
Му-плагины (must-use plugins) активируются автоматически при каждом запуске сайта и не отображаются в стандартном интерфейсе администрирования WordPress. Их нельзя отключить с панели управления — единственный способ избавиться от модуля — физически удалить файл из папки `wp-content/mu-plugins`. Именно это делает механизм особенно привлекательным для вредоносных внедрений .
Инфекция, обнаруженная экспертами из компании Sucuri, использует PHP-скрипт `wp-index.php` в директории обязательных плагинов в качестве загрузчика. Этот скрипт извлекает удалённый вредоносный компонент и размещает его в базе данных, в таблице `wp_options`, под именем `_hdra_core`.
Чтобы усложнить анализ, адрес, с которого подгружается вредонос, зашифрован с помощью алгоритма ROT13 — простой схемы подстановки, при которой каждая буква заменяется на находящуюся через 13 позиций в алфавите (например, A превращается в N, B — в O, и так далее).
После загрузки вредоносный код временно записывается на диск и тут же исполняется. Это даёт атакующим постоянную точку входа и позволяет выполнять удалённые команды. В частности, в директорию темы внедряется файловый менеджер под именем `pricing-table-3.php`, с помощью которого можно просматривать содержимое сервера, выгружать или удалять любые файлы.
Дополнительно создаётся новый администратор под именем `officialwp`, после чего на сайт загружается и активируется поддельный плагин `wp-bot-protect.php`. Этот элемент позволяет восстановить закладку даже после удаления первичного кода. Вредонос также умеет подменять пароли у часто используемых учётных записей с правами администратора, включая `admin`, `root`, `wpsupport` и собственную `officialwp`, задавая им единый пароль, заранее определённый злоумышленником.
Такой механизм не только обеспечивает устойчивый доступ к системе, но и позволяет полностью вытеснить легитимных администраторов, заблокировав им возможность восстановить контроль. Отсюда открывается широкий спектр сценариев — от скрытого встраивания вредоносных скриптов до перенаправления трафика на мошеннические ресурсы.
Как подчёркивает исследователь Пуджа Сривастава, такая схема сочетает в себе удалённое выполнение команд, подмену содержимого и возможность динамически изменять поведение вредоносного кода в зависимости от задач атакующих. Это делает её крайне опасной и гибкой.
Для снижения риска подобных атак администраторы должны регулярно обновлять ядро WordPress, шаблоны и все подключённые модули , использовать двухфакторную аутентификацию для учётных записей с повышенными правами и периодически проверять содержимое директорий с темами и плагинами — включая скрытые или нестандартные элементы, вроде `mu-plugins`.