Тысячи сайтов на WordPress подверглись атакам с помощью вредоносных бэкдоров в плагинах

Исследователи безопасности обнаружили JavaScript-код, устанавливающий четыре заслона (backdoor) на сайты, работающие на WordPress. Они также нашли уязвимый плагин, который позволяет взломщикам полностью захватить сайт. Существуют патчи и меры по минимизации рисков для всех этих уязвимостей.

По данным исследователей безопасности c/side, одна строка JavaScript-кода развернула не менее четырёх отдельных заслонов на примерно 1000 сайтов WordPress. Аналитика подробно описала эти четыре заслона и объяснила, как пользователи конструкторов сайтов могут защититься.

Анализ не раскрывал, как вредоносный JavaScript попал на эти сайты — можно предположить, что это могли быть слабые или взломанные пароли, уязвимый плагин или похожие причины. В любом случае, код подгружается с помощью cdn.csyndication[dot]com, домена, упомянутого в 908 сайтах.

Код разворачивает четыре заслона:

• Устанавливает фальшивый плагин «Ultra SEO Processor», который позволяет выполнять команды удалённо.
• Внедряет вредоносный JavaScript в wp-config.php.
• Добавляет SSH-ключ, чтобы угрозовые акторы могли поддерживать постоянный доступ.
• Выполняет команды удалённо и открывает обратную shell.

Для минимизации рисков c/side рекомендует владельцам сайтов удалить незаконные SSH-ключи, сменить учётные данные администратора WordPress и проверять системные логи на наличие подозрительной активности.

Параллельно PatchStack обнаружил уязвимость в популярном плагине WordPress Chaty Pro, который был установлен примерно 18000 раз. Chaty Pro позволяет владельцам интегрировать чат-сервисы с социальными мессенджерами.

Уязвимость отслеживается как CVE-2025-26776 и имеет критическую степень тяжести (10/10). Так как злоумышленники могут использовать её для загрузки вредоносных файлов, это может привести к полному захвату сайта. Infosecurity Magazine сообщает, что функция содержала белый список разрешённых расширений файлов, но он так и не был реализован.

«Имя загруженного файла содержит время загрузки и случайное число от 100 до 1000, поэтому можно загрузить вредоносный PHP-файл и получить доступ к нему методом перебора возможных имён файлов около времени загрузки», — объясняет PatchStack.

Разработчики Chaty Pro выпустили исправление 11 февраля. Всем пользователям рекомендуется обновить расширение до версии 3.3.4.