Рост атак на WordPress: BI.ZONE выявляет 250 попыток вскрытия уязвимости в must-use plugins за короткий срок

Эксперты компании BI.ZONE WAF с февраля 2025 года зафиксировали увеличение числа атак на сайты на платформе WordPress. Особенно это стало заметно после выхода исследования от Sucuri, которое подробно разобрало методы эксплуатации уязвимости. За несколько дней было зафиксировано 250 попыток атак на 13 различных организаций.

Методы эксплуатации были обнаружены в модуле must-use plugins, который представляет собой вид плагинов для WordPress, активирующихся при каждом запросе страницы и не требующих предварительной активации. Эти плагины представляют собой PHP-файлы, размещенные в папке wp-content/mu-plugins/. Они запускаются автоматически и не видны в администраторском интерфейсе.

Злоумышленники используют содержимое must-use plugins для:

– Перенаправления пользователей сайта на другие ресурсы и загрузки вредоносного ПО;
– Эксплуатации веб-оболочки, выступающей в роли бэкдора;
– Инъекции вредоносного JavaScript-кода.

Данная уязвимость не получила оценку по CVSS, но специалисты BI.ZONE считают ее критической, так как она дает доступ к веб-оболочке. Несмотря на то что угроза связана с методами эксплуатации WordPress, уязвимость не включена в перечень известных CVE, и многие средства защиты блокируют лишь последствия ее эксплуатации по общим правилам.

В качестве меры предосторожности специалисты BI.ZONE рекомендуют организациям следить за возможными изменениями в работе своих приложений и мониторить содержимое директории mu-plugins. Исследователи BI.ZONE уже разработали специальные правила для обнаружения и предотвращения эксплуатации уязвимости, выявленной в плагинах типа must-use plugins для WordPress.