Tihi uljez u WordPressu: Novi backdoor koristi skrivene pluginove za potpunu kontrolu sajta

Vesti, 24.07.2025, 13:30 PM

Istraživači sajber bezbednosti iz kompanije Sucuri otkrili su novi backdoor skriven u direktorijumu „mu-plugins“ na WordPress sajtovima, koji hakerima omogućava stalni pristup.

Taj tihi uljez u WordPressu koristi WordPress funkcionalnost „must-use plugins“ (mu-plugins) da ostane neotkriven i zadrži potpunu kontrolu nad kompromitovanim sajtovima.

Mu-plugins su posebna vrsta WordPress dodataka koji se automatski aktiviraju i ne mogu se isključiti iz wp-admin. Smešteni su u wp-content/mu-plugins direktorijumu i ne pojavljuju se na listi uobičajenih pluginova. Deluju kao fantomski deo sistema i ako ne znate gde da ih tražite, verovatno ih nikad nećete ni videti.

Ova funkcionalnost je zato idealna tačka uporišta za napadače koji žele da se ukotve duboko i nevidljivo.

Napad koji je otkrila kompanija Sucuri koristi PHP fajl wp-index.php kao loader. Taj fajl se nalazi u mu-plugins direktorijumu i njegov jedini zadatak je da preuzme malver sledeće faze koji se smešta direktno u WordPress bazu podataka, tačnije u wp_options tabelu, pod _hdra_core.

Zanimljivo je da adresa sa koje se malver preuzima nije zapisana u čistom tekstu, već kodirana ROT13 algoritmom - jednostavnom tehnikom kodiranja u kojoj se svako slovo zamenjuje onim koje je 13 mesta dalje u abecedi. Dovoljno da izbegne automatske alate za detekciju, ali i dovoljno providno za svakog iskusnog istraživača.

Šta se dešava kada malver „uđe“?

Kad se malver preuzme, kreira se skriveni fajl-menadžer u direktorijumu teme (pricing-table-3.php) koji omogućava napadaču da pretražuje, otprema ili briše fajlove. Kreira se novi administratorski nalog pod imenom „officialwp“, čime haker stiče punu kontrolu nad sajtom. Preuzima se dodatni zlonamerni plugin (wp-bot-protect.php) i automatski aktivira.

Pored ponovne infekcije u slučaju brisanja, malver može da menja lozinke za najčešće korišćene administrativne naloge („admin“, „root“ i „wpsupport“), kao i za sopstveni officialwp nalog, i sve to jednom lozinkom napadača. Drugim rečima, ako ste administrator - više niste.

Zašto je ovaj napad opasan? Zato što je izuzetno diskretan i otporan na pokušaje čišćenja. I da obrišete zlonamerni plugin, loader u mu-plugins direktorijumu će ga ponovo preuzeti. Da promenite lozinke - napadač ih može resetovati. Da pokušate da uklonite korisnika - on se vraća. Sve ovo čini ovaj backdoor uljezom koji čeka da vas izigra čim se opustite.

U međuvremenu, napadači mogu krasti osetljive podatke, ubaciti dodatni malver, preusmeravati posetioce na druge sajtove ili jednostavno obrisati ceo vaš sadržaj.

Prema preporukama istraživača iz Sucuri tima, da biste se zaštitili od ove pretnje neophodno je redovno ažuriranje WordPressa, tema i dodataka, uvođenje dvostepene autentifikacije (2FA) za sve administrativne naloge, ručni pregled sadržaja u mu-plugins, themes, plugins i wp_options i praćenje kreiranih korisnika i promena u privilegijama.