警惕！WordPress 插件成攻击入口，管理员权限被盗

IT之家 5 月 1 日消息，科技媒体 bleepingcomputer 昨日（4 月 30 日）发布博文，报道了一种针对 WordPress 网站的新型恶意软件，伪装成安全工具插件，诱导用户下载并安装。

Wordfence 研究团队警告称，该恶意软件能赋予攻击者持续的访问权限，允许他们执行远程代码并注入 JavaScript 脚本。更狡猾的是，它隐藏在插件仪表盘之外，让用户难以察觉其存在。

该恶意软件一旦激活，立即通过“emergency_login_all_admins”功能为攻击者提供管理员权限。攻击者只需输入明文密码，即可获取数据库中首个管理员账户的控制权，登录网站后台。

Wordfence 团队在 2025 年 1 月末的一次网站清理中首次发现该恶意软件。他们注意到“wp-cron.php”文件被篡改，用于创建并激活名为“WP-antymalwary-bot.php”的恶意插件。

IT之家援引博文介绍，此外该恶意软件还会创建“addons.php”、“wpconsole.php”、“wp-performance-booster.php”和“scr.php”等恶意插件。

即使管理员删除这些插件，“wp-cron.php”会在下一次网站访问时自动重新生成并激活它们。由于缺乏服务器日志，研究人员推测感染可能源于被盗的主机账户或 FTP 凭据。

该恶意插件不仅窃取管理员权限，还通过自定义 REST API 路由插入任意 PHP 代码到网站的“header.php”文件中，清除插件缓存，并执行其他命令。

最新版本甚至能将 base64 编码的 JavaScript 注入到网站的“<head>”部分，可能用于向访客推送广告、垃圾信息或将其重定向到不安全网站。