近期,科技領域迎來了一則關于WordPress網站安全的重大警示。據bleepingcomputer在4月30日的報道,一種新型惡意軟件正悄無聲息地威脅著眾多WordPress站點的安全。
這款惡意軟件偽裝得極為巧妙,它化身為安全工具插件,誘騙不明真相的用戶下載并安裝。Wordfence研究團隊對此發出了緊急警告,指出該惡意軟件一旦得手,便能賦予攻擊者持久的訪問權限,使他們能夠遠程執行代碼并注入Java腳本。
更令人防不勝防的是,這款惡意軟件巧妙地隱藏于插件儀表盤之外,使得用戶極難察覺其存在。一旦激活,它便立即利用“emergency_login_all_admins”功能,為攻擊者提供管理員權限的便捷通道。攻擊者只需輸入一個簡單的明文密碼,就能輕松掌控數據庫中首個管理員賬戶,進而登錄網站后臺。
Wordfence團隊在追溯該惡意軟件的起源時,發現其在2025年1月末的一次網站清理行動中首次現身。當時,他們注意到“wp-cron.php”文件被不明勢力篡改,用于創建并激活一個名為“WP-antymalwary-bot.php”的惡意插件。該惡意軟件還狡猾地創建了多個其他惡意插件,如“addons.php”、“wpconsole.php”、“wp-performance-booster.php”和“scr.php”等。
即便管理員及時發現并刪除了這些惡意插件,它們仍能在下一次網站訪問時通過“wp-cron.php”文件自動重新生成并激活。由于服務器日志的缺失,研究人員只能推測,這次感染事件可能源于被盜的主機賬戶或FTP憑據。
這款惡意插件的威脅遠不止于此。它不僅會竊取管理員權限,還會通過自定義REST API路由,將任意PHP代碼插入到網站的“header.php”文件中。這樣一來,攻擊者就能清除插件緩存,并執行其他各種惡意命令,對網站的安全構成極大威脅。
