A hackerek egyre gyakrabban használják ki a WordPress MU bővítmények („Must-Use Plugins”) könyvtárát, hogy rosszindulatú kódokat futtassanak különböző weboldalakon. A módszert először a Sucuri kiberbiztonsági cég kutatói észlelték 2025 februárjában, és azóta már háromféle káros kódot is azonosítottak, amelyeket így telepítettek.
„Kötelező” malware-ek
A Must-Use bővítmények (MU-plugins) a WordPress egy speciális bővítménytípusát jelentik, amelyek automatikusan betöltődnek minden oldalmegnyitáskor anélkül, hogy az adminfelületen aktiválni kellene őket. Ezek a PHP fájlok a wp-content/mu-plugins/ könyvtárban találhatók. A MU bővítményeket gyakran használják legitim célokra, például weboldalszintű biztonsági szabályok érvényesítésére, teljesítményoptimalizálásra vagy egyedi funkciók hozzáadására. Ugyanakkor mivel ezek minden oldalbetöltéskor lefutnak, és nem láthatók a hagyományos bővítménylistában, a támadók könnyen elrejthetik bennük a kártékony kódokat. Így például adatokat lophatnak, kártékony szkripteket injektálhatnak, vagy módosíthatják a weboldal tartalmát.
A kutatók az alábbi három típusú rosszindulatú fájlt azonosították, amelyeket a támadók a mu-plugins mappába helyeznek:
- redirect.php: Átirányítja a látogatókat (kivéve a botokat és a bejelentkezett adminokat) egy rosszindulatú weboldalra (updatesnow[.]net), ahol hamis böngészőfrissítési üzenetet jelenít meg, ezzel próbálva kártékony szoftver letöltésére rávenni őket.
- index.php: Egy webshell, amely hátsó ajtóként szolgál, lehetővé téve a támadóknak, hogy GitHub-ról PHP-kódokat töltsenek le és futtassanak a szerveren.
- custom-js-loader.php: Egy JavaScript betöltő, amely lecseréli az oldal képeit explicit tartalomra, valamint módosítja a kimenő linkeket és csaló felugró ablakokat jelenít meg.
Különösen veszélyes a webshell, mert távoli parancsfuttatást biztosít a támadók számára, lehetőséget ad adatlopásra, és további támadások indítására a felhasználók ellen. A másik két fájl szintén ártalmas, mivel rontja a weboldal megbízhatóságát, SEO-ját, és rosszindulatú szoftverek telepítésére próbálja rávenni a látogatókat.
A WordPress rendszergazdáknak ajánlott:
- Rendszeresen frissíteni a bővítményeket és témákat.
- Minden nem használt bővítményt kikapcsolni vagy törölni.
- Az adminisztrátori fiókokat erős jelszavakkal és kétlépcsős hitelesítéssel védeni.
Forrás: nki.gov.hu
