Image by Souvik Banerjee, from Unsplash
Хакеры используют поддельный плагин WordPress для полного контроля над сайтом
Время для прочтения: 2 мин.
Последние обновления: Sep 30, 2025
-
![Киара Фаббри]()
-
![Команда локализации и перевода]()
Перевод выполнен Команда локализации и перевода Услуги локализации и перевода
Исследователи обнаружили, что хакеры эксплуатируют сайты на WordPress через скрытые «задние двери», получая полный контроль, даже когда владельцы сайтов пытаются их удалить.
Спешите? Вот краткие факты:
- Поддельный плагин под названием DebugMaster Pro тайно создавал учетные записи администратора.
- Вредоносное ПО отправляло украденные данные для входа на сервер, контролируемый хакерами.
- Злонамеренные скрипты были внедрены на сайты, а также производился учет IP-адресов администраторов.
Недавнее расследование, проведенное Sucuri, выявило два файла с вредоносным содержимым, замаскированными под обычные компоненты системы WordPress. Один из них был поддельным плагином под названием «DebugMaster Pro» (./wp-content/plugins/DebugMaster/DebugMaster.php). Другой выдавал себя за основной файл (./wp-user.php).
Оба были разработаны для того, чтобы атакующие всегда имели учетную запись администратора на сайте. Файл DebugMaster содержал продвинутый код, так как он создавал секретную учетную запись администратора. DebugMaster также оставался невидимым для списков плагинов, отправляя украденную информацию о входе на удаленный сервер.
Как объяснялось в отчете: «Этот фрагмент кода принуждает WordPress создать нового пользователя с именем help и ролью администратора. Если такой пользователь уже существует, скрипт гарантирует восстановление его привилегий администратора.»
Украденные данные, включая имя пользователя и пароль, были зашифрованы и отправлены на сайт, контролируемый хакерами. Вредоносное программное обеспечение выполняло вредоносные скрипты на сайте во время своей работы, чтобы определить IP-адреса администраторов сайта.
Файл wp-user.php представлял собой простую, но в то же время тревожную ситуацию. Система поддерживала учетную запись администратора под названием «help», которая использовала фиксированный пароль. Даже если владелец сайта удалял эту учетную запись, файл мгновенно воссоздавал ее.
Исследователи объяснили, что предупреждающие знаки этой инфекции включают странные файлы, такие как ‘DebugMaster.php’ или ‘wp-user.php’, новые или скрытые учетные записи администратора и возвращающиеся удаленные аккаунты.
Решение этой проблемы предполагает удаление вредоносных файлов и подозрительных аккаунтов. Пользователям также рекомендуется сбросить все пароли и обновить WordPress, плагины, а также проверить серверные логи на наличие необычных подключений.
Исследователи заявили, что два файла «создали устойчивую опору на веб-сайте», что означает, что злоумышленники могли бы легко вернуться, если бы сайт не был полностью очищен и защищен.
Предыдущая история
Последние статьи 
