Через вредоносный плагин для WordPress хакеры получают доступ к сайтам

Оригинальный плагин используется для поисковой оптимизации, поэтому часто применяется специалистами. Его подделка выглядит вполне легитимно и на первый взгляд совершенно ничем не отличается от оригинала. В ней даже имеется вся необходимая техническая документация и рабочая ссылка на полностью всю базу доступных для WordPress плагинов. Но если провести подробное изучение этого плагина, то можно заметить наличие в нем зашифрованного с помощью base64 запроса eval.

Эксперты выяснили, что eval является хорошо знакомой хакерам PHP-функцией, которая часто применяется для удаленного выполнения произвольного PHP-кода. В связи с широким распространением php.net опубликовал официальную рекомендацию с призывом отказаться от использования этой функции.

В директории плагина содержится 2 файла. В одном из них содержится список функций и имен, которые задействуются в зависимости от того, на каком устройстве и в какой версии они используются. Второй файл создан для использования основного функционала WordPress. Именно благодаря этому происходит привязка к «шапке» сайта запроса eval. Именно с помощью этих действий впоследствии злоумышленники запросто смогут получить доступ к сайту, где используется данный плагин. При этом запрос инициализируется каждый раз, когда соответствующая тема загружается в веб-обозреватель.

После выявления зловредного плагина эксперты решили проанализировать некоторые сайты на его наличие. Оказалось, что сегодня очень большое количество ресурсов заражено. Однако если провести поиск среди используемых плагинов, то WP-Base-SEO не выявляется. А это значит, что поддельный инструмент выявить почти невозможно.