СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
15.09.2025
#Dev#ИБ#Инфра

Кампания обнуленных плагинов ставит под угрозу WordPress и Wordfence

Кампания обнуленных плагинов ставит под угрозу WordPress и Wordfence

Источник: www.wordfence.com

Команда Wordfence по анализу угроз выявила крупную кампанию вредоносного ПО, целью которой стали сайты на WordPress. Атака использует модифицированные несанкционированные версии премиум-plugins — так называемые nulled plugins — и представляет значительную опасность: злоумышленники не только получают доступ к сайтам, но и подрывают работу существующих средств защиты, гарантируя себе долгосрочный контроль.

Краткое содержание расследования

По данным Wordfence, злоумышленники распространяют изменённые версии премиум-plugins, которые содержат встроенную функциональность backdoor. Основные моменты кампании:

  • Вредонос остаётся неактивным до срабатывания определённого триггера в URL-запросе.
  • Backdoor активируется через событие инициализации WordPress, что гарантирует его выполнение при каждой загрузке страницы.
  • После активации злоумышленники способны отключать средства защиты — в том числе сканер и правила безопасности Wordfence и альтернативных решений.
  • Для закрепления доступа используется создание новой учетной записи администратора или повышение привилегий существующего пользователя.
  • Дополнительно злоумышленники применяют косметические методы: через CSS и JavaScript они скрывают вредоносный plugin с главной страницы плагинов и подменяют/скрывают результаты сканирования.

Техническая схема атаки

Атака построена по отработанной модели скрытого внедрения и эскалации привилегий:

  • Модифицированный plugin устанавливается как обычный — часто из сомнительных источников.
  • Встроенный backdoor регистрируется на этапе инициализации WordPress, что делает его постоянным при каждой загрузке страниц сайта.
  • Backdoor ожидает сигнатуру в URL, и лишь при её наличии «просыпается» и выполняет набор команд.
  • После активации он может отключить проверки безопасности, изменить поведение сканера и скрыть своё присутствие в административной панели.
  • Для долговременного доступа злоумышленник создаёт или повышает привилегии аккаунтов — что делает восстановление контроля сложнее даже после удаления начального кода backdoor.

Почему это опасно

Эта кампания опасна по нескольким причинам:

  • Подрыв доверия к средствам защиты. Вредоносное ПО может напрямую отключать правила и результаты сканирования, мешая администратору увидеть проблему.
  • Скрытность. Использование CSS/JavaScript для маскировки делает обнаружение вручную гораздо сложнее.
  • Устойчивость доступа. Создание административных аккаунтов или повышение прав позволяет злоумышленникам сохранить контроль даже после удаления видимого бэкдора.
  • Человеческий фактор. Использование nulled plugins ради экономии превращает владельцев сайтов в невольных соучастников атаки.

Индикаторы компрометации (IOC)

  • Неожиданные или неизвестные администраторские учётные записи;
  • Изменённые файлы плагинов, особенно у премиум-решений, установленных не из официальных источников;
  • Скрытые элементы в административной панели (пустые или отсутствующие записи на странице Plugins);
  • Несоответствия в результатах сканера Wordfence или явное скрытие некоторых ошибок/предупреждений;
  • Подозрительные URL с триггерными параметрами, вызывающими скрытые действия.

Рекомендации для владельцев и администраторов сайтов

Чтобы минимизировать риск и оперативно реагировать на подобные инциденты, эксперты советуют:

  • Устанавливать темы и plugins только из официальных и проверенных источников (WordPress.org, авторизованные магазины и разработчики).
  • Исключать использование nulled plugins — экономия сегодня может обернуться серьезными потерями завтра.
  • Проводить регулярные сканирования и аудит файловой целостности; проверять результаты сканера на предмет скрывания ошибок.
  • Проверять и удалять неизвестные или лишние административные аккаунты; менять пароли и сбрасывать сессии при подозрениях.
  • Внедрять двухфакторную аутентификацию и политику минимальных прав (least privilege).
  • Держать резервные копии и план восстановления — чтобы восстановить сайт после компрометации без повторного внедрения вредоносного кода.
  • При подозрении на взлом обращаться к специалистам по инцидент-реакции и уважать рекомендации по полному анализу и очистке сервера.

Вывод

Кампания, выявленная Wordfence, демонстрирует, насколько опасными могут быть модифицированные nulled plugins. Они позволяют злоумышленникам не только проникнуть на сайт, но и системно подрывать защиту, маскироваться и закрепляться в системе. По сути, попытка сэкономить на лицензии приводит к повышению рисков: вредоносное ПО превращает владельца сайта в непреднамеренного помощника атакующих.

Рекомендация простая: избегайте установки сомнительных модифицированных плагинов и следуйте базовым практикам безопасности — это самая эффективная профилактика подобных инцидентов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: