随着WordPress成为全球最受欢迎的网站内容管理系统之一,其庞大的用户基数也让黑客攻击的目标更为集中和多样。近期,网络安全专家发现一款伪装成安全插件的恶意软件在WordPress社区肆虐,危及网站安全,使攻击者能够通过远程方式获得管理员控制权,进而开展一系列恶意活动。该恶意插件以“WP-antymalwary-bot.php”为名,实际上隐藏着复杂的攻击机制,具备自我隐藏、远程代码执行以及持久化存活功能。攻击者借助该插件,得以绕过网站管理员的权限限制,肆意修改网站内容,甚至注入恶意JavaScript代码用于显示广告或传播恶意软件,从中获利。安全研究机构Wordfence的Marco Wotschka博士指出,这款插件不仅包含向远程指挥和控制服务器回传信息的“ping”功能,还能自动向其他目录传播恶意代码,形成多个感染点,极大地增加了清除难度。该恶意插件首次被发现于2025年1月底,当时专业团队在针对被黑站点进行清理时意外揭露其踪迹。
随着时间推移,相关变种不断演进,名称也更加多样化,包括addons.php、wpconsole.php、wp-performance-booster.php及scr.php等,使得识别和排查难度显著上升。一旦该恶意插件被激活,攻击者几乎瞬间获得了管理员管理面板的完全访问权限。插件滥用WordPress的REST API功能,实现远程代码执行,常见做法是向网站主题的header文件中注入恶意PHP代码,同时清空流行缓存插件的数据缓存,以确保恶意代码的持续执行与隐藏。新一版恶意插件还采用了更为隐蔽的注入手段,从其他已被攻陷的域名动态拉取并加载JavaScript代码,用于展示广告或进行垃圾邮件传播,这些活动不仅影响用户体验,还可能导致网站被搜索引擎降权或封禁。插件在被删除或禁用后,同目录下的恶意文件wp-cron.php会自动重建并重新激活恶意组件,利用WordPress自身的定时任务机制,为恶意活动提供持续保障,从根本上阻碍了网站管理员的清理努力。尽管具体漏洞入口尚未被完全确认,但研究人员在代码中发现了大量俄语注释与信息,推测攻击者为俄语母语区域的黑客组织。
与此同时,其他安全公司如Sucuri也披露了相关链条攻击,例如伪装字体域italicfonts[.]org实施的网络刷卡攻击,在结账页面利用伪造支付表单窃取用户信用卡信息。Magento电商平台也未能幸免,遭受一波复杂的多阶段刷卡攻击,该攻击利用JavaScript木马程序,窃取包括信用卡数据、登录凭证、浏览器Cookies等多类别敏感信息。攻击者甚至巧妙利用伪装为GIF图片的PHP脚本,作为恶意反向代理服务器截取用户请求,将流量引向控制服务器,从而实现隐蔽数据盗取和远程控制。除此之外,不法分子也在至少17个WordPress站点中植入了额外的谷歌AdSense代码,直接窃取广告收益。受害网站的服务器资源被大量消耗,同时原有广告收入被转移给黑客团队,造成经济损失和信誉受损。安全研究员Puja Srivastava指出,这种行为不仅破坏网站正常广告收益,也使得网站资源被滥用,用户体验极大下降。
除此之外,一些网站还被注入带有欺骗性质的验证码弹窗,诱骗访问者下载基于Node.js搭建的后门程序。该程序能够收集宿主系统信息,建立远程隧道连接(SOCKS5代理),允许攻击者绕过网络限制,隐蔽地传输恶意流量。该攻击链被Trustwave SpiderLabs识别为流量分发系统(TDS)“Kongtuke”,呈现多功能型后门特性,不仅支持细致的系统侦察,还能执行远程命令和网络代理服务,维护攻击者的持久控制能力。针对上述攻击风险,WordPress网站管理员需时刻保持警惕。首先,务必定期更新核心系统及所有插件,避免漏洞被利用。其次,避免安装来历不明或未经官方认证的插件,并使用安全扫描工具定期检测异常文件及代码。
强化密码策略,启用多因素认证,阻断攻击者通过暴力破解获取权限的可能。备份数据成为防御攻破后的重要手段,建议采用异地存储方案,确保在遭受破坏时能快速恢复。合理配置服务器权限,限制脚本执行权限,避免恶意文件轻易植入网站目录。借助专业安全厂商提供的网站防火墙(WAF),能够对恶意请求进行筛查和阻断,提升整体安全防御能力。除此之外,应关注异常流量和登陆日志,及时发现异常活动迹象,配合安全专家制定应急响应方案。针对注入恶意广告和伪造支付页面等行为,建议利用正版安全插件,对网站内容和外部脚本进行白名单管理,杜绝未经授权代码插入。
对于用户体验部分,通过设置合理的验证码和动态安全检查机制,减少验证码被滥用的风险。总而言之,当前围绕WordPress的网络安全态势日益严峻,伪装成安全插件的恶意软件更具迷惑性和破坏性。站长和安全团队需提高防范意识,结合技术、管理和监控多方面手段,构筑稳固防线,防止黑客通过远程管理权限操控网站,维护网站的安全运营和用户信任。随着网络环境不断演进,安全威胁也日益复杂,持续学习和应对才能保障数字资产安全,守护广大网络空间的健康生态。
