Site-urile create cu WordPress, vulnerabile la hackeri. Cum te aperi de escroci, sfaturi utile pentru începători și nu numai

Un nou tip de atac cibernetic vizează site-urile WordPress, folosind o metodă ingenioasă pentru a se ascunde în locuri greu de verificat.

Cercetătorii de la compania de securitate Sucuri au descoperit un backdoor extrem de discret care exploatează directorul „mu-plugins”, o zonă puțin cunoscută chiar și de administratorii experimentați.

Prin această tehnică, atacatorii obțin acces permanent și pot efectua acțiuni arbitrare pe site, fără a fi detectați.

Ce sunt mu-plugins și de ce sunt periculoase?

Pluginurile must-use (mu-plugins) sunt fișiere speciale care se activează automat în toate instalările WordPress. Ele sunt stocate în directorul wp-content/mu-plugins și nu apar în lista obișnuită de pluginuri din panoul de administrare, scrie publicația The Hacker News.

Spre deosebire de pluginurile standard, acestea nu pot fi dezactivate din wp-admin, ci doar prin ștergerea manuală a fișierelor.

Practic, caracteristica le face o țintă ideală pentru atacatori, deoarece infecțiile pot rămâne ascunse mult timp fără să ridice suspiciuni.

Cum funcționează atacul pe site-urile create cu WordPress?

Specialiștii Sucuri au identificat un fișier malițios numit wp-index.php plasat în directorul mu-plugins. Acest script acționează ca un loader: descarcă o a doua etapă a infecției și o salvează în baza de date WordPress, în tabelul wp_options, sub cheia _hdra_core.

Adresa de unde se ia payload-ul este mascată cu ROT13, un cifru simplu care înlocuiește fiecare literă cu a 13-a din alfabet, complicând detectarea.

După ce este descărcat, conținutul este scris temporar pe disk și executat. Astfel, atacatorii obțin un backdoor permanent, cu următoarele efecte:

• Se injectează un file manager ascuns în tema activă, sub numele pricing-table-3.php, permițând atacatorilor să navigheze, să încarce sau să șteargă fișiere.
• Se creează un cont de administrator fals, numit officialwp, cu acces complet.
• Se descarcă și se activează un plugin malițios suplimentar, wp-bot-protect.php, care reinstalează infecția chiar dacă fișierele compromise sunt șterse.

Mai grav, malware-ul schimbă parolele unor utilizatori comuni, precum admin, root sau wpsupport, la o parolă predefinită de atacatori, blocând administratorii legitimi și lăsând doar accesul lor activ.

Consecințele și cum te poți proteja

Prin această metodă, atacatorii pot face aproape orice pe site: fura date, injecta cod care infectează vizitatorii, redirecționa traficul către site-uri frauduloase sau chiar deface complet pagina.

Persistența acestui backdoor îl face extrem de periculos, mai ales pentru site-urile care nu sunt monitorizate constant.

Pentru a te proteja, experții recomandă:

• Actualizarea periodică a WordPress, temelor și pluginurilor.
• Implementarea autentificării în doi pași pentru toate conturile de administrator.
• Auditarea regulată a fișierelor din teme, pluginuri și în special a directorului mu-plugins.
• Verificarea bazei de date pentru înregistrări suspecte în tabelul wp_options.