كشفت شركة Sucuri المتخصصة في أمن الويب عن هجوم سيبراني متقدم استهدف مواقع ووردبريس من خلال زرع باب خلفي في مجلد mu-plugins، وهو مجلد خاص بالإضافات التي تُفعَّل تلقائياً ولا تظهر ضمن قائمة الإضافات في لوحة التحكم، مما يصعّب اكتشافها أو تعطيلها.
تبيّن أن البرنامج الخبيث يُحمَّل من خلال ملف PHP باسم «wp-index.php»، يعمل كناقل لتحميل حمولة خبيثة مخفية تُخزّن ضمن قاعدة البيانات وتُشفّر عبر خوارزمية ROT13. بعد ذلك تُنفَّذ مؤقتًا وتمنح المهاجم قدرة على تنفيذ أوامر PHP عن بُعد، مما يُتيح له التحكم الكامل بالموقع.
وقد أظهرت التحليلات أن الهجوم يُدرج مدير ملفات مخفي ضمن مجلد القوالب باسم «pricing-table-3.php»، ويُنشئ حساب مدير نظام جديد باسم «officialwp». كما يقوم بتحميل إضافة خبيثة باسم «wp-bot-protect.php» وتفعيلها تلقائياً.
الهجوم يشمل أيضاً آلية متقدمة لاستعادة السيطرة عند إزالة الملفات، حيث يعمد إلى تغيير كلمات مرور حسابات المسؤولين الشائعة مثل «admin» و«root» إلى كلمة مرور يحددها المهاجم، مما يُمكنه من إقصاء المسؤولين الشرعيين عن الموقع.
التوصيات الأمنية
توصي شركة Sucuri جميع مالكي مواقع ووردبريس بتحديث النظام الأساسي والإضافات والقوالب بانتظام، وتفعيل المصادقة متعددة العوامل لتعزيز الحماية. كما تدعو إلى إجراء تدقيقات أمنية دقيقة تشمل مجلدات الإضافات والقوالب، مع ضرورة فحص قاعدة البيانات بحثاً عن إدخالات مريبة مثل «_hdra_core» داخل جدول «wp_options» للتحقق من عدم وجود برامج خبيثة نشطة.
