A hackerek aktívan használják a WordPress MU bővítmények (“Must-Use Plugins”) könyvtárat különféle weboldalakon rosszindulatú kód futtatására. Ezt a módszert először a Sucuri kiberbiztonsági vállalat kutatói észlelték 2025 februárjában, azóta a támadók már három különböző típusú rosszindulatú kód futtatására is használják.
„Kötelező” malware-k
A Must-Use bővítmények (MU-plugins) a WordPress beépülő modul speciális típusai közé tartoznak, ugyanis automatikusan lefutnak minden egyes oldalbetöltésnél anélkül, hogy az adminisztrátor panelről aktiválni kellene őket. Ezeket a PHP fájlokat a ‘wp-content/mu-plugins/‘ könyvtárban tárolják. A MU bővítmények legitim módon használhatók: weboldalszintű funkcionalitás kikényszerítésére egyedi biztonsági szabályokkal, teljesítményjavításra, vagy változók dinamikus módosítására. Mivel azonban ezek a plugin-ok minden oldalbetöltéskor automatikusan lefutnak, és nem jelennek meg a hagyományos bővítménylistában, a támadóknak lehetőségük nyílik arra, hogy olyan rosszindulatú tevékenységet hajtsanak végre, mint például hitelesítő adatok ellopása, rosszindulatú kód injektálása vagy HTML kimenet módosítása.
A kutatók az alábbi 3 kártékony payload-ot azonosították, amiket a hackerek a mu-plugins könyvtárba helyeznek el:
- redirect.php: Átirányítja a felhasználókat (kivéve a botokat és a bejelentkezett adminokat) egy rosszindulatú weboldalra (updatesnow[.]net), ahol hamis böngészőfrissítési üzenetet jelenik meg, ami rosszindulatú szoftverek letöltésére próbálja meg rávenni őket.
- index.php: Webshell, amely hátsó ajtóként funkcionál, a GitHub repository-ból PHP-kódot kér le és futtat.
- custom-js-loader.php: JavaScriptet tölt be, amely a weboldalon lévő összes képet explicit tartalomra cseréli, valamint eltéríti a kimenő linkeket, úgy, hogy csaló felugró ablakokat jelenít meg.
A felsoroltak közül a webshell különösen veszélyes, mivel lehetővé teszi a támadók számára, hogy távolról parancsokat futtassanak a szerveren, adatokat lopjanak el, illetve további downstream támadásokat indítsanak a felhasználók ellen. A másik két payload szintén ártalmas lehet, mivel rontják a webhely hírnevét és SEO-pontszámát, valamint segítségükkel rosszindulatú programokat próbálnak telepíteni a felhasználók gépeire.
A WordPress rendszergazdáknak javasolt:
- biztonsági frissítések alkalmazása a bővítményekre és a témákra,
- a nem használt bővítmények kikapcsolása vagy eltávolítása, valamint
- adminisztrátori fiókok védelme erős jelszavakkal és többfaktoros autentikációval.