近期,科技领域迎来了一则关于WordPress网站安全的重大警示。据bleepingcomputer在4月30日的报道,一种新型恶意软件正悄无声息地威胁着众多WordPress站点的安全。
这款恶意软件伪装得极为巧妙,它化身为安全工具插件,诱骗不明真相的用户下载并安装。Wordfence研究团队对此发出了紧急警告,指出该恶意软件一旦得手,便能赋予攻击者持久的访问权限,使他们能够远程执行代码并注入Java脚本。
更令人防不胜防的是,这款恶意软件巧妙地隐藏于插件仪表盘之外,使得用户极难察觉其存在。一旦激活,它便立即利用“emergency_login_all_admins”功能,为攻击者提供管理员权限的便捷通道。攻击者只需输入一个简单的明文密码,就能轻松掌控数据库中首个管理员账户,进而登录网站后台。
Wordfence团队在追溯该恶意软件的起源时,发现其在2025年1月末的一次网站清理行动中首次现身。当时,他们注意到“wp-cron.php”文件被不明势力篡改,用于创建并激活一个名为“WP-antymalwary-bot.php”的恶意插件。该恶意软件还狡猾地创建了多个其他恶意插件,如“addons.php”、“wpconsole.php”、“wp-performance-booster.php”和“scr.php”等。
即便管理员及时发现并删除了这些恶意插件,它们仍能在下一次网站访问时通过“wp-cron.php”文件自动重新生成并激活。由于服务器日志的缺失,研究人员只能推测,这次感染事件可能源于被盗的主机账户或FTP凭据。
这款恶意插件的威胁远不止于此。它不仅会窃取管理员权限,还会通过自定义REST API路由,将任意PHP代码插入到网站的“header.php”文件中。这样一来,攻击者就能清除插件缓存,并执行其他各种恶意命令,对网站的安全构成极大威胁。
