黑客利用 WordPress mu-plugins 植入隐形后门，持续控制管理员权限

图片

网络安全研究人员发现，黑客在 WordPress 网站的 “mu-plugins” 目录中隐藏了一种新型隐形后门，借此获取持久访问权，并能执行任意操作。

01 什么是 mu-plugins？

“必须使用插件”（即 mu-plugins）是一类特殊的 WordPress 插件，会在所有站点中自动激活，默认存储在 “wp-content/mu-plugins” 目录下。

这类插件对攻击者而言极具吸引力：它们不会出现在 wp-admin 后台的插件列表中，且除非从必须使用插件目录中删除文件，否则无法被禁用。正因如此，利用这种技术的恶意软件能悄无声息地运行，很难引起用户警觉。

02 后门的技术细节

网络安全公司 Sucuri 发现的这起攻击中，mu-plugins 目录下的 PHP 脚本 “wp-index.php” 充当了加载器，负责获取下一阶段的恶意代码（payload），并将其存储在 WordPress 数据库的 wp_options 表中，字段名为 “_hdra_core”。

获取远程恶意代码的 URL 经过了 ROT13 加密处理 — 这是一种简单的替换密码，会将每个字母替换为其后第 13 个字母（例如 A 替换为 N，B 替换为 O，以此类推）。

安全研究员普贾・斯里瓦斯塔瓦表示：“获取到的内容会临时写入磁盘并执行。这种后门能让攻击者持久控制网站，还能远程运行任意 PHP 代码。”

03 黑客的恶意操作

具体来说，该后门会在主题目录中注入一个隐藏的文件管理器 “pricing-table-3.php”，让攻击者能浏览、上传或删除文件；同时会创建名为 “officialwp” 的管理员账户，还会下载并激活一个名为 “wp-bot-protect.php” 的恶意插件。

更棘手的是，即便恶意文件被删除，这款恶意软件也能重新植入感染；它还会修改常见管理员账户（如 “admin”“root”“wpsupport”）的密码，将其改为攻击者预设的密码，甚至包括它自己创建的 “officialwp” 账户。

这意味着攻击者既能持久控制网站，又能有效锁定其他管理员 — 他们可借此窃取数据、植入恶意代码（向访客推送恶意软件），或把用户重定向到诈骗网站。

斯里瓦斯塔瓦指出：“攻击者获得完整的管理员权限和持久后门后，能在网站上为所欲为，从安装更多恶意软件到篡改网站内容都不在话下。远程命令执行和内容注入功能还能让他们随时改变恶意软件的行为。”

04 防范建议

为防范此类威胁，网站管理员需定期更新 WordPress 核心程序、主题及插件，为账户启用双因素认证，并定期审计网站的所有部分（包括主题和插件文件）。