Специалисты по кибербезопасности из компании Sucuri выявили новую тенденцию в тактике киберпреступников: использование директории Must-Use Plugins (MU-plugins) в WordPress для скрытого размещения и выполнения вредоносного кода. Данная техника, впервые обнаруженная в феврале 2025 года, демонстрирует растущую динамику применения среди злоумышленников.
Особенности и риски Must-Use плагинов
Must-Use плагины представляют собой специальную категорию WordPress-расширений, которые автоматически активируются при каждой загрузке страницы сайта. Располагаясь в директории wp-content/mu-plugins/, эти PHP-файлы исполняются без необходимости ручной активации через панель администрирования. Критически важным фактором безопасности является то, что MU-плагины по умолчанию не отображаются в стандартном списке плагинов, что делает их привлекательным инструментом для злоумышленников.
Выявленные типы вредоносных программ
Исследователи идентифицировали три основных варианта вредоносного кода, внедряемого через MU-plugins:
1. Модуль redirect.php
Осуществляет перенаправление посетителей на фишинговый ресурс updatesnow[.]net, имитирующий легитимное обновление браузера. При этом система избирательно обходит администраторов сайта и поисковых роботов для маскировки своего присутствия.
2. Веб-шелл index.php
Наиболее опасный компонент, функционирующий как бэкдор для удаленного выполнения произвольного PHP-кода. Получает инструкции через GitHub-репозиторий, что затрудняет обнаружение вредоносной активности.
3. Скрипт custom-js-loader.php
Инжектирует вредоносный JavaScript-код, который модифицирует контент сайта, заменяя изображения неприемлемым содержимым и перехватывая клики по внешним ссылкам для показа мошеннических pop-up окон.
Векторы заражения и меры защиты
Хотя точный механизм первичного заражения сайтов остается неустановленным, эксперты предполагают использование известных уязвимостей в плагинах и темах WordPress, а также компрометацию административных учетных записей. Для защиты рекомендуется регулярно проверять содержимое директории mu-plugins, использовать сложные пароли и поддерживать все компоненты сайта в актуальном состоянии.
Обнаруженная техника атак подчеркивает необходимость повышенного внимания к безопасности WordPress-сайтов и важность регулярного мониторинга критических системных директорий. Администраторам веб-ресурсов следует внедрить комплексный подход к безопасности, включающий периодический аудит файловой системы и использование специализированных решений для обнаружения вредоносного кода.
