Sicherheitsforscher des Unternehmens Sucuri haben eine besorgniserregende neue Angriffsmethode auf WordPress-Websites aufgedeckt. Cyberkriminelle nutzen verstärkt die Must-Use-Plugins-Verzeichnisse (MU-plugins), um schädlichen Code einzuschleusen und auszuführen. Diese Technik, die erstmals im Februar 2025 dokumentiert wurde, zeigt eine steigende Tendenz in der Cyberkriminalität.
Must-Use-Plugins: Ein unterschätztes Sicherheitsrisiko
Must-Use-Plugins stellen eine besondere Kategorie von WordPress-Erweiterungen dar, die sich fundamental von regulären Plugins unterscheiden. Diese PHP-Dateien werden automatisch bei jedem Seitenaufruf ausgeführt und sind im Verzeichnis wp-content/mu-plugins/ gespeichert. Da MU-Plugins nicht in der WordPress-Administration sichtbar sind, bieten sie Angreifern ideale Bedingungen für das Verstecken von Malware.
Identifizierte Malware-Varianten und ihre Funktionsweise
Redirect-Malware (redirect.php)
Diese Malware-Variante leitet Websitebesucher gezielt auf gefälschte Update-Seiten wie updatesnow[.]net um. Besonders raffiniert: Die Umleitung verschont Administratoren und Suchmaschinen-Crawler, um möglichst lange unentdeckt zu bleiben.
Ferngesteuerter Webshell (index.php)
Die gefährlichste entdeckte Komponente ermöglicht Angreifern die vollständige Kontrolle über infizierte Websites. Durch die Nutzung von GitHub-Repositories zur Command-and-Control-Kommunikation wird die Erkennung durch klassische Sicherheitssysteme erschwert.
JavaScript-Injektor (custom-js-loader.php)
Diese Malware manipuliert den Website-Content durch das Einschleusen bösartiger JavaScript-Code-Fragmente. Zu den Hauptfunktionen gehören das Austauschen von Bildern und die Implementierung betrügerischer Pop-up-Fenster bei Klicks auf externe Links.
Präventionsstrategien und Sicherheitsmaßnahmen
Während die exakten Infektionswege noch analysiert werden, deuten die Erkenntnisse auf kompromittierte Admin-Zugänge und bekannte Plugin-Schwachstellen als primäre Eintrittspunkte hin. Für einen effektiven Schutz empfehlen Sicherheitsexperten:
– Regelmäßige Überprüfung des mu-plugins-Verzeichnisses auf unbekannte Dateien
– Implementierung einer starken Passwort-Policy
– Zeitnahes Einspielen von Sicherheitsupdates
– Einsatz von Datei-Integritäts-Monitoring
– Nutzung spezialisierter WordPress-Security-Plugins
Diese neue Angriffsmethode unterstreicht die Notwendigkeit eines ganzheitlichen Sicherheitskonzepts für WordPress-Installationen. Website-Betreiber sollten ihre Sicherheitsmaßnahmen überprüfen und besonderes Augenmerk auf versteckte Verzeichnisse wie mu-plugins legen. Die Integration automatisierter Sicherheitsscans und regelmäßiger Systemaudits ist dabei unverzichtbar für die frühzeitige Erkennung und Abwehr derartiger Bedrohungen.
