WordPress остается одной из самых популярных платформ для создания сайтов в мире, что делает её привлекательной целью для киберпреступников. Недавние исследования выявили новый способ взлома сайтов на WordPress с использованием так называемых must-use плагинов, или mu-плагинов. Внедрение скрытого бекдора через эту директорию позволяет злоумышленникам получить и поддерживать полный административный доступ к сайту без возможности обнаружения обычными методами. Must-use плагины — это особый тип плагинов, которые активируются автоматически на всех сайтах установленной WordPress системы. Они располагаются в папке wp-content/mu-plugins и не отображаются на стандартной странице управления плагинами в административной панели, что существенно усложняет их обнаружение и отключение без непосредственного удаления файлов из соответствующей директории.
Современные злоумышленники активно пользуются этими особенностями. В частности, специалисты по кибербезопасности компании Sucuri выявили, что вредоносный PHP-скрипт, размещённый в mu-плагинах под именем wp-index.php, служит загрузчиком следующей стадии атаки. Он скачивает и сохраняет вредоносный код в базе данных WordPress, в таблице wp_options под ключом _hdra_core. При этом URL для загрузки полезной нагрузки закодирован с помощью ROT13 — простого шифра, меняющего каждую букву на 13-ю по алфавиту, что усложняет анализ трафика.
Выведенный на диск вредоносный файл тут же исполняется, что даёт злоумышленникам возможность запускать произвольные PHP-команды на заражённом сервере. Помимо поддержки скрытого доступа, этот бекдор внедряет скрытый файловый менеджер в директорию текущей темы оформления под именем pricing-table-3.php. С помощью такого менеджера злоумышленники могут просматривать, загружать и удалять любые файлы на сервере, что открывает широкие возможности для дальнейших атак, включая размещение новых вредоносных скриптов. Важной составляющей вредоносного ПО становится создание учетной записи администратора с именем officialwp.
Эта учётная запись используется для закрепления контроля над сайтом, а также для автоматической загрузки и активации дополнительного вредоносного плагина wp-bot-protect.php. Благодаря такой схеме атаки удаление одного компонента вредоносного комплекса не приводит к разгрому всей системы заражения — остальные элементы программного кода способны восстановить полный контроль. Злоумышленники также разработали механизм изменения паролей для общепринятых администрационных учетных записей с именами admin, root и wpsupport. Злоумышленнический код устанавливает пароль, заданный атакующими, что фактически блокирует доступ легитимных администраторов и усиливает фактор постоянного контроля над ресурсом.
Обладая полным административным доступом, киберпреступники имеют возможность не только украсть ценные данные, но и использовать сайт для дальнейших злонамеренных целей. Сюда относится внедрение вредоносных скриптов, которые могут заражать посетителей, перенаправлять трафик на мошеннические ресурсы или размещать фишинговые страницы. В конечном итоге, это наносит серьёзный урон репутации владельца сайта и может привести к юридическим и финансовым последствиям. Для защиты от подобных угроз владельцам сайтов на WordPress рекомендуется регулярно обновлять ядро, темы и все подключённые плагины, поскольку разработчики своевременно выпускают патчи для известных уязвимостей. Ещё одним важным шагом является использование двухфакторной аутентификации и тщательный аудит всех учетных записей с правами администратора.
Особое внимание следует уделять содержимому папки mu-plugins и, при обнаружении несанкционированных файлов, немедленно предпринимать меры по очистке и восстановлению безопасности. Мониторинг активности на сервере и регулярный анализ файловой структуры позволяют своевременно выявлять подозрительные изменения и блокировать попытки внедрения вредоносного кода. Также стоит воспользоваться услугами специализированных сервисов по безопасности WordPress, которые автоматически сканируют сайт на наличие бекдоров и других угроз. Современные атаки становятся всё сложнее и изощрённее, и важно осознавать, что безопасность сайта зависит не только от технических решений, но и от дисциплины владельца и команды поддержки. Поддержка актуального статуса систем, чёткая политика управления доступами и своевременное реагирование на подозрительные события существенно снижают риски потери контроля над сайтом.
Для бизнесов и специалистов, использующих WordPress в качестве платформы для работы, важно учитывать, что уязвимости mu-плагинов — это новый вектор атаки, который нельзя игнорировать. Внедрение многоуровневой системы защиты помогает предотвратить последствия таких угроз и обеспечивать надёжное функционирование ресурсов в условиях постоянно меняющейся киберсреды. Подводя итог, атаки через му-плагины демонстрируют, насколько важно глубоко понимать архитектуру и особенности CMS WordPress, а также регулярно использовать комплексные методы защиты и проведения аудита. Только системный подход и постоянная бдительность обеспечат безопасность веб-проектов и позволят сохранить доверие пользователей и клиентов.
