Эксперты BI.ZONE зафиксировали 250 атак на WordPress-сайты: всплеск активности злоумышленников

С февраля 2025 года эксперты BI.ZONE WAF фиксируют увеличение числа атак на сайты, работающие на платформе WordPress. После выхода исследования Sucuri, в котором детально изложена методика эксплуатации уязвимости, было замечено резкое увеличение активности хакеров — 250 атак на 13 организаций всего за несколько дней.

Уязвимость была обнаружена в плагинах типа must‑use plugins, которые активируются при каждом открытии страницы и не требуют предварительной активации. Эти плагины представляют собой PHP-файлы, которые сохраняются в папке wp-content/mu-plugins/. Они начинают свою работу при загрузке страницы, не отображаясь в админ-панели.

Злоумышленники применяют must‑use plugins для:

– перенаправления пользователей на внешние ресурсы и внедрения вредоносных программ;
– эксплуатации веб‑шеллов, выступающих в роли бэкдоров;
– загрузки вредоносного кода на JavaScript.

Хотя данная уязвимость не имеет оценки по шкале CVSS, специалисты BI.ZONE классифицируют её как критическую, так как данная методика позволяет получить доступ к веб‑шеллу. Значимо и то, что хотя угроза связана с эксплуатацией WordPress, данная уязвимость не зарегистрирована в базе известных CVE, и большинство средств защиты блокируют лишь последствия её использования в рамках общих правил.

В качестве мер предосторожности эксперты BI.ZONE советуют организациям обращать внимание на любые изменения в работе приложений и контролировать содержимое папки mu-plugins. Исследователи из BI.ZONE уже разработали правила для обнаружения попыток эксплуатации уязвимости в плагинах типа must‑use plugins на платформе WordPress.