Специалисты BI.ZONE WAF фиксируют рост атак на сайты WordPress начиная с февраля 2025 года. Особенно заметно количество атак увеличилось после того, как в конце марта была обнаружена новая уязвимость.
По данным исследования компании Sucuri, результаты которого были опубликованы 28 марта, атаки используют метод подмены содержимого так называемых must-use plugins.
Такие плагины представляют собой PHP-файлы, которые автоматически загружаются системой WordPress без предварительной активации и находятся в специальном каталоге.
Подмена этих файлов дает злоумышленникам широкие возможности, наиболее распространёнными из которых являются:
- перенаправление посетителей на вредоносные ресурсы и загрузка зловредов;
- размещение веб-шелла для удалённого доступа и выполнения команд на сервере (бэкдор);
- внедрение вредоносного JavaScript-кода в страницы сайта.
Эксперты BI.ZONE WAF оценили данную угрозу как критическую, однако официального рейтинга уязвимости от CVSS пока не присвоено, и она отсутствует в базах известных угроз. Большинство защитных решений блокируют лишь последствия эксплуатации этой уязвимости в рамках общих правил безопасности.
Исследователи BI.ZONE WAF уже разработали специализированные детектирующие правила, которые позволяют выявить попытки эксплуатации данной атаки. Компания рекомендует администраторам уделять повышенное внимание изменениям в каталоге must-use plugins (обычно это каталог wp-content/mu-plugins/).
