Основная функция WordPress используется для показа вредоносного кода и спам-изображений

Исследователи из Sucuri обнаружили вредоносный код, скрытый в каталоге mu-plugins. Вредоносное ПО перенаправляло посетителей, распространяло спам и могло даже загружать вредоносное ПО. Сайт был скомпрометирован из-за уязвимых плагинов, слабых паролей администратора и других факторов.

Исследователи заявили, что злоумышленники прячут вредоносный код в "mu-plugins" (сокращение от Must-Use plugins), каталог, хранящий плагины, активируемые автоматически и не подлежащие деактивации через панель администратора. Обычно они используются для основных функций сайта, пользовательских модификаций или оптимизации производительности, которые должны всегда выполняться.

"Этот подход представляет собой тревожную тенденцию, поскольку mu-plugins не отображаются в стандартном интерфейсе плагинов WordPress, что делает их менее заметными и более простыми для игнорирования при рутинных проверках безопасности", - объяснили исследователи Sucuri.

По результатам анализа были обнаружены три варианта вредоносного кода: redirect.php (перенаправляет посетителей на вредоносные сайты), index.php (возможности удаленного выполнения кода и загрузки вредоносного ПО) и custom-js-loader.php (ввод спама).

"Возможный ущерб варьируется от незначительных неудобств до серьезных нарушений безопасности, что подчеркивает важность проактивных мер по обеспечению безопасности веб-сайтов", - предупредила Sucuri.

Обсуждая возможные способы заражения сайтов, исследователи заявили, что существует несколько путей компрометации сайта WordPress. К ним относятся использование уязвимого плагина или темы, взломанные учетные данные администратора или злоупотребление плохо защищенными хостинговыми средами.

Для минимизации риска администраторы веб-сайтов должны сканировать свою установку WP на наличие вредоносных файлов (особенно в каталоге mu-plugins), проверять наличие несанкционированных учетных записей администратора, аудировать установленные плагины, обновлять WordPress, плагины и темы, изменять все пароли администраторов и, если возможно, настраивать двухфакторную аутентификацию, а также отслеживать целостность файлов, настроив плагин безопасности.