Фахівці з кібербезпеки компанії Sucuri виявили тривожну тенденцію в тактиці кіберзлочинців, які почали активно експлуатувати директорію Must-Use Plugins (MU-plugins) платформи WordPress для приховування та виконання шкідливого коду. Ця витончена техніка атак, вперше зафіксована в лютому 2025 року, демонструє стрімке поширення серед зловмисників через свою ефективність та складність виявлення.
Механізм роботи Must-Use плагінів та їх вразливості
Must-Use плагіни являють собою особливий тип розширень WordPress, що автоматично активуються при кожному завантаженні сайту. Критичним аспектом безпеки є те, що ці плагіни залишаються невидимими в стандартному інтерфейсі адміністратора, розташовуючись у директорії wp-content/mu-plugins/. Така особливість робить їх ідеальним інструментом для проведення прихованих кібератак.
Виявлені варіанти шкідливого програмного забезпечення
Шкідливий модуль переадресації
Компонент redirect.php здійснює приховане перенаправлення відвідувачів на фішингові ресурси, маскуючись під легітимні оновлення браузера. Система використовує складні алгоритми обходу виявлення, ігноруючи адміністраторів сайту та пошукових роботів.
Просунутий веб-шелл
Найбільш критичний компонент атаки – веб-шелл index.php, що функціонує як прихований бекдор для віддаленого виконання довільного PHP-коду. Особливістю цього модуля є отримання команд через GitHub-репозиторій, що суттєво ускладнює виявлення шкідливої активності.
Інжектор шкідливого JavaScript-коду
Модуль custom-js-loader.php впроваджує шкідливі JavaScript-скрипти, які модифікують контент сайту, підміняють зображення та перехоплюють користувацькі взаємодії для показу шахрайських спливаючих вікон.
Стратегії захисту та превентивні заходи
Для ефективного захисту від подібних атак рекомендується впровадити комплекс заходів безпеки:
– Регулярний моніторинг директорії mu-plugins на предмет несанкціонованих змін
– Використання систем виявлення вторгнень (IDS)
– Впровадження багатофакторної автентифікації
– Своєчасне оновлення всіх компонентів WordPress
– Застосування принципу найменших привілеїв при налаштуванні доступу
Виявлена техніка атак підкреслює критичну важливість комплексного підходу до безпеки WordPress-сайтів. Адміністраторам необхідно приділяти особливу увагу моніторингу системних директорій та впроваджувати багаторівневі системи захисту. Регулярний аудит безпеки та використання спеціалізованих інструментів виявлення шкідливого коду стають обов’язковими елементами сучасної стратегії кіберзахисту.
