المتسللون ينشرون بابًا خلفيًا خفيًا في ملحقات WordPress Mu للحفاظ على وصول المدير
تحليل أمني - 24 يوليو 2025
الكاتب: مايستر نيرو
كشف باحثون في الأمن السيبراني عن باب خلفي جديد متخفي ضمن مجلد "mu-plugins" في مواقع WordPress، يتيح للمهاجمين الوصول المستمر وتنفيذ أوامر عشوائية.
ما هي إضافات mu-plugins ولماذا تُستغل؟
mu-plugins أو "الإضافات التي يجب استخدامها" هي مكونات يتم تفعيلها تلقائيًا في جميع مواقع WordPress ولا تظهر في لوحة التحكم العادية، ما يجعلها هدفًا مثاليًا للهجمات الخفية.
في الهجوم الذي رصدته شركة Sucuri، يقوم سكربت PHP في مجلد mu-plugins (باسم "wp-index.php") بجلب حمولة خبيثة لاحقة من الإنترنت وتخزينها في قاعدة بيانات WordPress.
تفاصيل الهجوم
يتم استدعاء الحمولة من رابط مشفر باستخدام خوارزمية ROT13 وتُنفذ بعد حفظها مؤقتًا على القرص. كما يقوم السكربت بإدخال مدير ملفات خفي في مجلد الثيم باسم "pricing-table-3.php"، وإنشاء مستخدم مسؤول باسم "officialwp".
تشمل الأوامر التي ينفذها البرنامج الخبيث: تحميل ملفات، حذفها، تعديل كلمات مرور المستخدمين الإداريين، وتثبيت إضافات خبيثة مثل "wp-bot-protect.php".
كيفية الحماية
للحماية من هذه الهجمات، يجب تحديث WordPress والإضافات والقوالب بانتظام، تفعيل التحقق الثنائي، ومراجعة ملفات الإضافات والثيمات دوريًا.
يستخدم مهاجمون بابًا خلفيًا مخفيًا داخل إضافات mu-plugins في WordPress للوصول المستمر، مع إمكانيات لتغيير كلمات المرور، تثبيت ملفات خبيثة، وتنفيذ أوامر عن بُعد دون الكشف عن وجودهم.
تم التعديل في: 24 يوليو 2025