
Los actores de amenaza están utilizando el directorio “Mu-Plugins” en los sitios de WordPress para ocultar el código malicioso con el objetivo de mantener el acceso remoto persistente y redirigir a los visitantes del sitio a sitios falsos.
MU-Plugins, abreviatura de complementos de uso imprescindible, se refiere a complementos en un directorio especial (“WP-Content/MU-Plugins”) que WordPress ejecuta automáticamente sin necesidad de habilitarlos explícitamente a través del tablero de administración. Esto también hace del directorio una ubicación ideal para organizar malware.
“Este enfoque representa una tendencia preocupante, ya que los Mu-Plugins (complementos de uso obligatorio) no figuran en la interfaz de complemento de WordPress estándar, lo que hace que sean menos notables y más fáciles para los usuarios ignorar durante las verificaciones de seguridad de rutina”, el investigador de Sucuri, puja Srivastava dicho en un análisis.
En los incidentes analizados por la compañía de seguridad del sitio web, se han descubierto tres tipos diferentes de código PHP Rogue en el directorio –
- “WP-Content/Mu-Plugins/Redirect.php”, que redirige a los visitantes del sitio a un sitio web malicioso externo
- “WP-Content/Mu-Plugins/Index.php”, que ofrece una funcionalidad similar a Web Shell, permitiendo a los atacantes ejecutar código arbitrario descargando un script PHP remoto Organizado en Github
- “WP-Content/Mu-Plugins/Custom-JS-Loader.php”, que inyecta el spam no deseado en el sitio web infectado, probablemente con la intención de promover estafas o manipular las clasificaciones de SEO, reemplazando todas
La “redirección.php”, dijo Sucuri, disfrazada de una actualización del navegador web para engañar a las víctimas para instalar malware que puede robar datos o soltar cargas útiles adicionales.
“El script incluye una función que identifica si el visitante actual es un bot”, explicó Srivastava. “Esto permite que el script excluya los rastreadores de motores de búsqueda y evite que detecten el comportamiento de redirección”.
El desarrollo se produce como los actores de amenaza son continuo para usar Sitios de WordPress infectados como puestos de presentación de los terrenos para engañar a los visitantes del sitio web en la ejecución de comandos de PowerShell maliciosos en sus computadoras de Windows bajo la apariencia de una verificación de Google Recaptcha o Cloudflare Captcha, una táctica prevalente Llamado ClickFix, y entregue el malware Lumma Stealer.
Los sitios pirateados de WordPress también se están utilizando para implementar JavaScript malicioso que puede Redirigir a los visitantes a dominios de terceros no deseados o actuar como skimmer para desviar información financiera ingresada en las páginas de pago.
Actualmente no se sabe cómo se han violado los sitios, pero los sospechosos habituales son complementos o temas vulnerables, credenciales de administración comprometidas y configuraciones erróneas del servidor.
Según un nuevo informe de PatchStack, los actores de amenaza han explotado rutinariamente cuatro vulnerabilidades de seguridad diferentes desde el comienzo del año –
- CVE -2024-27956 (Puntuación CVSS: 9.9): una vulnerabilidad de ejecución SQL arbitraria no autenticada en WordPress Automatic Plugin – Generador de contenido AI y complemento de cartel automático
- CVE- 2024-25600 (Puntuación CVSS: 10.0): una vulnerabilidad de ejecución de código remoto no autenticado en el tema de los ladrillos
- CVE-2024-8353 (puntaje CVSS: 10.0): una inyección de objeto PHP no autenticada a la vulnerabilidad de ejecución de código remoto en el complemento GiveWP en el complemento
- CVE-2024-4345 (puntuación CVSS: 10.0): una vulnerabilidad de carga de archivos arbitraria no autenticada en los complementos de Elemento StartKlar para WordPress
Para mitigar los riesgos planteados por estas amenazas, es esencial que los propietarios de sitios de WordPress mantengan actualizados complementos y temas, de auditoría de manera rutinaria para la presencia de malware, apliquen contraseñas seguras e implementen un firewall de aplicación web para solicitudes maliciosas y eviten inyecciones de código.






