Кибербезопасность недавно стала свидетелем новой угрозы: сложное вредоносное ПО, нацеленное на веб-сайты WordPress. Это вредоносное ПО ловко маскируется под популярный плагин безопасности WordFence, создавая ложное чувство безопасности, отключая основные механизмы защиты и открывая бэкдоры для злоумышленников.

Плановая проверка выявила скрытое вредоносное ПО WordPress

Обнаружение этого вредоносного ПО произошло во время стандартного расследования взломанного сайта WordPress. Администратор сайта, изначально обеспокоенный потенциальной кражей кредитных карт, успешно устранил непосредственную угрозу. Однако более глубокий анализ, проведенный экспертами по безопасности в Сукури обнаружили более коварную проблему: вредоносный плагин, предназначенный для обхода обнаружения WordFence и нейтрализации его функций.

Уязвимость WordFence для вредоносного ПО WordPress
Вредоносное ПО WordPress было обнаружено в ходе планового расследования Sucuri взломанного веб-сайта. (Изображение предоставлено)

Использование вредоносных плагинов — это распространенная тактика, применяемая злоумышленниками для проникновения на сайты WordPress, особенно те, у которых есть скомпрометированные учетные записи администратора. Эти плагины часто маскируются под общие имена, незаметно вписываясь в среду сайта. В этом конкретном случае подозрительный плагин был назван wp-engine-fast-action, вводящее в заблуждение имя, поскольку сайт не был размещен на WPEngine, и легитимного плагина с таким именем не существует.

You Might Also Like
Лидер раскрывает планы Xiaomi по выпуску высокопроизводительного устройства eSIM в 2026 году
Лидер раскрывает планы Xiaomi по выпуску высокопроизводительного устройства eSIM в 2026 году
Появляются новые подробности о Motorola G30
Появляются новые подробности о Motorola G30
В TikTok начнется показ рекламы в зависимости от активности пользователей
В TikTok начнется показ рекламы в зависимости от активности пользователей

Уязвимость WordFence под микроскопом

WordFence, насчитывающий более 5 миллионов активных установок, является ведущим решением по безопасности для сайтов WordPress. Однако, несмотря на свои надежные функции, включая двухфакторную аутентификацию и службу брандмауэра, он не застрахован от эксплуатации. Вредоносный плагин wp-engine-fast-action содержал скрипт, скрывавший его истинное назначение с помощью кодировки base64, конкатенации и обратных строк.

  Откройте для себя Uber Flex Pay: быстрый доступ к своим доходам

После расшифровки вредоносное намерение плагина стало очевидным: он переименовал каталог плагина WordFence в «wordfence1», фактически отключив его, создал нового вредоносного пользователя-администратора или повысил привилегии существующего пользователя с именем license_admin2 и послужил потенциальным вектором повторного заражения, обеспечив злоумышленникам постоянный доступ даже после первоначального удаления вредоносного ПО.

Умная маскировка

Чтобы еще больше избежать обнаружения, злоумышленники включили в плагин дополнительные файлы (main.js и style.css). Файл main.js содержал запутанный код JavaScript, который визуально манипулировал настройками WordFence, создавая иллюзию того, что сканирование безопасности было активным, когда это было не так. Файл style.css скрывал присутствие поддельного плагина и вредоносного пользователя-администратора из панели управления WordPress. Этот обманчивый код, хотя и был коротким, был невероятно эффективен, вводя пользователей в заблуждение, заставляя их верить, что их сайт безопасен.

Уязвимость WordFence для вредоносного ПО WordPress
Злоумышленники использовали дополнительные файлы (main.js и style.css) для дальнейшего сокрытия своих действий и создания иллюзии безопасности. (Изображение предоставлено)

Как защитить свой сайт WordPress

Хотя WordFence остается ценным инструментом безопасности для сайтов WordPress, этот инцидент подчеркивает важность обеспечения правильной настройки всех его функций и сохранения бдительности в отношении потенциальных уязвимостей. Sucuri рекомендует несколько мер для эффективного снижения угроз:

  • Двухфакторная аутентификация (2FA): Это добавляет дополнительный уровень безопасности входам в систему, требуя дополнительного этапа проверки, выходящего за рамки простого имени пользователя и пароля.
  • Обеспечение безопасности wp-config.php: Реализация мер безопасности, таких как disallow_file_edit и disallow_file_mods, может предотвратить несанкционированное изменение этого важного файла.
  • Регулярные обновления: Поддержание WordPress, тем и плагинов в актуальном состоянии гарантирует устранение известных уязвимостей.
  • Брандмауэр веб-сайта: Это может защитить от атак методом подбора паролей и заблокировать вредоносных ботов.
    Мониторинг целостности файлов: использование внешних решений для сканирования может помочь обнаружить несанкционированные изменения файлов веб-сайта.
  Windows 11 показывает значительный прирост производительности по сравнению с Windows 10

Обнаружение этого нового вредоносного ПО WordPress служит суровым напоминанием о постоянной игре в кошки-мышки между профессионалами в области кибербезопасности и киберпреступниками. Не забывайте быть в курсе последних угроз и принимать упреждающие меры для защиты вашего сайта WordPress.

Кредит на изображение: Фикрет тозак/Unsplash

Source: Вредоносное ПО WordPress маскируется под защиту WordFence