BI.ZONE зафиксировала новую схему компрометации сайтов на WordPress

Компания BI.ZONE зафиксировала 250 попыток взлома сайтов, использующих WordPress, с начала февраля 2025 года. Атаке подверглись 13 организаций, а вектор вторжения основан на новой технике, опубликованной в начале месяца американской компанией Sucuri. Практически сразу после публикации информация попала в руки злоумышленников и была применена для атак на реальные цели.

Суть техники заключается в использовании системных плагинов WordPress, которые находятся в скрытой директории wp-content/mu-plugins/. Эти модули автоматически подключаются при запуске сайта, при этом не отображаются в панели администратора и не требуют активации вручную. Хакеры размещают в этой папке вредоносные PHP-файлы, которые получают права на выполнение сразу после загрузки.

Особенность метода в том, что вредоносные скрипты загружаются в служебную директорию WordPress, которая малоизвестна даже продвинутым пользователям. Эти файлы остаются незамеченными, поскольку не выводятся в пользовательском интерфейсе панели управления.

BI.ZONE

В ходе атак использовался веб-шелл — специальный файл, предоставляющий злоумышленнику постоянный доступ к серверу. Это позволяет не только управлять сайтом, но и внедрять новые вредоносные элементы, изменять контент и даже перенаправлять трафик на сторонние ресурсы. BI.ZONE подчёркивает, что данный вектор взлома пока не получил статуса CVE, однако угроза от него не менее серьёзная.

Этот способ взлома строится не на классической уязвимости, а на логике работы системы. Вредоносный код размещается в директории, предназначенной для обязательных модулей, которые не требуют активации и сразу же исполняются.

BI.ZONE

Стандартные механизмы защиты, в том числе антивирусные средства и классические файерволы, далеко не всегда способны обнаружить такие файлы. В большинстве случаев они активируются уже после того, как вредоносный код начинает работать. В связи с этим BI.ZONE разработала дополнительные правила детектирования, интегрированные в их систему BI.ZONE WAF. Защита способна выявлять как известные, так и новые угрозы, включая попытки внедрения в mu-plugins.

Мы оперативно внедрили сигнатуры, способные фиксировать необычную активность при попытках загрузки файлов в чувствительные директории. Это уже позволило нам заблокировать множество подобных атак.

BI.ZONE

В компании также рекомендуют администраторам регулярно проверять содержимое папки mu-plugins и отслеживать любые изменения в структуре сайта, особенно появление незнакомых файлов и нестандартного поведения. Профилактический контроль остаётся одним из главных способов защиты.

Даже простая проверка каталога на регулярной основе может спасти от серьёзных последствий. Эта директория крайне уязвима, если её оставить без внимания.

BI.ZONE

В BI.ZONE подчёркивают, что атаки могут быть использованы не только для доступа к сайтам, но и в рамках более масштабных сценариев — к примеру, для загрузки вредоносного программного обеспечения, кражи данных или создания ботнетов. Всё это делает новый метод особенно опасным на фоне широкой распространённости WordPress в российском сегменте интернета.