Вредоносный плагин для WordPress предоставляет хакерам доступ к сайтам

[душман]

Исследователи компании SiteLock обнаружили вредоносный плагин WordPress под названием WP-Base-SEO, подделанный под настоящий инструмент для поисковой оптимизации WordPress SEO Tools. На первый взгляд файл кажется вполне легитимным, включая ссылку на базу данных плагинов WordPress и техническую документацию. Однако в ходе более подробного анализа эксперты обнаружили зашифрованный с использованием base64 запрос eval.

Eval представляет собой популярную у киберпреступников PHP-функцию, выполняющую произвольный PHP-код. Из-за частого применения хакерами php.net рекомендовал полностью отказаться от ее использования.

Директория плагина содержит два файла. Один из них, wp-sep.php, использует различные функции и имена в зависимости от установки. Второй, wp-seo-main.php, использует «родной» функционал WordPress для присоединения запроса eval к «шапке» сайта. С его помощью злоумышленники получают доступ к ресурсу. Как пояснили эксперты, инициализация запроса происходит при каждой загрузке темы в браузере.

Исследователи обнаружили множество сайтов с установленным вредоносным плагином. Тем не менее, поиск по названию WP-Base-SEO не предоставляет никакой информации. Из этого следует, что данное вредоносное ПО в настоящее время практически не детектируется.