Эксперты BI.ZONE зафиксировали более 250 кибератак на коммерческие и государственные организации, использующие WordPress. Всплеск активности злоумышленников связан с эксплуатацией уязвимостей в must-use плагинах CMS, позволяющих внедрять вредоносный код и создавать бэкдоры для доступа к корпоративным системам.
С февраля 2025 года специалисты BI.ZONE WAF отмечают рост атак на сайты, работающие на WordPress — системе управления контентом (CMS) с открытым исходным кодом.
После публикации исследования Sucuri, детально описывающего технику эксплуатации, зафиксирован резкий всплеск активности злоумышленников: более 250 попыток атак на 13 организаций за несколько дней. Уязвимость обнаружена в модуле must-use plugins — особом типе плагинов WordPress, которые автоматически запускаются при каждой загрузке страницы, не требуют активации в панели администратора и хранятся в директории wp-content/mu-plugins/ в виде PHP-файлов. Злоумышленники используют эти плагины для перенаправления пользователей на фишинговые или вредоносные сайты, внедрения веб-шеллов, действующих как бэкдоры, и загрузки вредоносного JavaScript-кода.
Хотя уязвимость пока не получила оценку по шкале CVSS, специалисты BI.ZONE WAF классифицируют ее как критическую, поскольку она позволяет злоумышленникам получать долгосрочный доступ к веб-ресурсам. Проблема усугубляется тем, что уязвимость не внесена в базу CVE, а многие системы защиты блокируют лишь последствия атак. В качестве мер защиты эксперты BI.ZONE рекомендуют контролировать изменения в работе веб-приложений, проверять содержимое директории mu-plugins на наличие подозрительных файлов и использовать WAF-решения с актуальными правилами детектирования.
BI.ZONE WAF уже включает сигнатуры для блокировки данной техники эксплуатации и обеспечивает многоуровневую защиту веб-приложений и API, предотвращая атаки на известные уязвимости и противодействуя ботнет-активности. Организациям, использующим WordPress, следует усилить мониторинг и применить превентивные меры защиты для минимизации рисков кибератак.