هکرها از افزونه‌های ضروری (MU-plugins) در وردپرس برای پنهان کردن بدافزار سوءاستفاده می‌کنند

هکرها از  قابلیت افزونه‌های ضروری (Must-Use یا MU-plugins) در وردپرس سوءاستفاده می‌کنند تا کدهای مخرب خود را پنهان کرده و دسترسی طولانی‌مدت به سایت‌های هک‌شده را حفظ کنند.

اوایل سال ۲۰۲۵، محققان امنیتی در شرکت Sucuri متوجه شدند که مجرمان سایبری از این روش استفاده می‌کنند و گزارش داده‌اند که میزان استفاده از این تکنیک در ماه‌های اخیر افزایش یافته است.

افزونه‌های ضروری (MU-plugins) در وردپرس چیست؟

در وردپرس، افزونه‌های MU افزونه‌هایی هستند که به‌طور خودکار در یک سایت وردپرسی فعال می‌شوند و – همان‌طور که از نامشان پیداست – باید استفاده شوند و بنابراین، از طریق پنل مدیریت وردپرس نمی‌توان آن‌ها را غیرفعال کرد.

این افزونه‌ها در پوشه‌ای خاص به نام mu-plugins در مسیر wp-content قرار دارند. برخلاف افزونه‌های معمولی وردپرس، این افزونه‌ها در لیست افزونه‌های نصب‌شده نمایش داده نمی‌شوند، مگر اینکه فیلتر “must use” فعال شود.

اما چه چیزی یک افزونه را ضروری می‌کند؟

هر افزونه‌ای که برای عملکرد سایت حیاتی باشد و نباید غیرفعال شود، می‌تواند یک افزونه ضروری در نظر گرفته شود. این شامل مواردی مانند افزایش امنیت، بهینه‌سازی عملکرد یا مدیریت چندسایت است که مدیران یا توسعه‌دهندگان یک سایت، آن‌ها را برای فعال ماندن ضروری دانسته‌اند.

بنابراین، استفاده از افزونه‌های MU می‌تواند دلیل منطقی و معتبری داشته باشد، هرچند بسیاری از کاربران وردپرس ممکن است از وجود آن‌ها بی‌خبر باشند.

هکرها چگونه از این قابلیت سوءاستفاده می‌کنند؟

محققان Sucuri می‌گویند حملات معمولاً از طریق یک افزونه قدیمی و آسیب‌پذیر یا یک رمز عبور ضعیف آغاز می‌شود که باعث می‌شود مهاجمان کنترل سایت را به دست بگیرند. پس از دسترسی، هکرها یک فایل PHP مخرب را در پوشه mu-plugins قرار می‌دهند که به آن‌ها یک دسترسی دائمی و پایدار به سایت می‌دهد.

نمونه‌هایی از افزونه‌های مخرب MU که در حملات واقعی مشاهده شده‌اند:

• redirect.php – کاربران سایت را به یک صفحه به‌روزرسانی جعلی مرورگر هدایت می‌کند که بدافزار دانلود می‌کند.
• index.php – یک درب پشتی (Backdoor) که به هکرها امکان دسترسی از راه دور به سرور آلوده را می‌دهد.
• custom-js-loader.php – محتوای سایت را با لینک‌های اسپم یا تصاویر نامناسب جایگزین می‌کند.

این افزونه‌های مخفی، کدهای هکرها را روی هر صفحه سایت اجرا می‌کنند و در صورت عدم حذف صحیح، می‌توانند سایت را مجدداً آلوده کنند.

برای جلوگیری از شناسایی سریع، کد افزونه مخرب redirect.php طوری طراحی شده است که اگر صفحه توسط مدیران لاگین‌شده سایت یا ربات‌های موتور جستجو مشاهده شود، فعال نمی‌شود.

خطرات این حمله برای سایت شما

هیچ‌کس نمی‌خواهد که هکرها یک درب پشتی روی سایتشان داشته باشند که به آن‌ها دسترسی مدیر (Admin-Level) بدهد. مهاجمی که چنین قدرتی دارد می‌تواند:

• داده‌ها را سرقت کند
• حساب‌های مدیر جدید ایجاد کند
• از سایت شما برای توزیع بدافزار استفاده کند
• علاوه بر این، ممکن است بازدیدکنندگان سایت شما به دلیل MU-plugins مخربی که هکرها نصب کرده‌اند، به صفحات مخرب در اینترنت هدایت شوند. این موضوع به اعتبار و کسب‌وکار شما آسیب می‌زند.

برای بازدیدکنندگان نیز این خطر وجود دارد که هنگام بازدید از سایت آلوده، رایانه آن‌ها به بدافزار آلوده شود.

چگونه از سایت وردپرسی خود محافظت کنیم؟

بهترین راه برای افزایش امنیت وردپرس این است که:

•  از رمزهای عبور قوی و منحصربه‌فرد استفاده کنید.
• احراز هویت دو مرحله‌ای (2FA) را فعال کنید.
•  سایت خود را برای رفتارهای غیرعادی نظارت کنید.
•  وردپرس، افزونه‌ها و قالب‌های نصب‌شده را به‌روز نگه دارید.

در نهایت، اگر شک دارید که سایت وردپرسی شما ممکن است به MU-plugins مخرب آلوده شده باشد، پوشه wp-content/mu-plugins را بررسی کنید. اگر از افزونه‌های ضروری استفاده نمی‌کنید، این پوشه باید خالی باشد.

منبع: https://www.bitdefender.com/en-us/blog/hotforsecurity/hackers-exploit-little-known-wordpress-mu-plugins-feature-to-hide-malware