Image by Souvik Banerjee, from Unsplash
Hakerzy Używają Fałszywej Wtyczki WordPress, Aby Utrzymać Pełną Kontrolę nad Stroną
Przeczytasz w: 2 min
Ostatnia aktualizacja: Sep 30, 2025
-
![Kiara Fabbri]()
-
![Zespół ds. lokalizacji i tłumaczenia]()
Tłumaczenie Zespół ds. lokalizacji i tłumaczenia Usługi związane z tłumaczeniem i lokalizacją treści
Badacze odkryli, że hakerzy wykorzystują strony WordPress poprzez ukryte backdoory, zdobywając pełną kontrolę, nawet gdy właściciele stron próbują je usunąć.
W pośpiechu? Oto krótkie fakty:
- Sztuczny plugin o nazwie DebugMaster Pro potajemnie tworzył konta administratora.
- Malware wysyłał skradzione dane logowania do serwera kontrolowanego przez hakera.
- Złośliwe skrypty były wstrzykiwane do stron, rejestrując również adresy IP administratorów.
Niedawne śledztwo przeprowadzone przez Sucuri ujawniło, że dwa pliki o złośliwej zawartości były przebrane za normalne komponenty systemu WordPress. Jeden z nich to fałszywy plugin o nazwie „DebugMaster Pro” (./wp-content/plugins/DebugMaster/DebugMaster.php). Drugi udawał plik jądra systemu (./wp-user.php).
Oba zostały zaprojektowane, aby zapewnić, że atakujący zawsze mieli konto administratora na stronie. Plik DebugMaster zawierał zaawansowany kod, gdyż tworzył tajne konto użytkownika z prawami admina. DebugMaster pozostawał również niewidoczny na listach pluginów, jednocześnie wysyłając skradzione informacje logowania do oddalonego serwera.
Jak wyjaśniono w raporcie: „Ten fragment kodu zmusza WordPressa do stworzenia nowego użytkownika o nazwie help z rolą administratora. Jeśli użytkownik już istnieje, skrypt zapewnia, że przywrócone zostają mu uprawnienia administratora.”
Skradzione dane, w tym nazwa użytkownika i hasło, zostały zakodowane i wysłane na stronę internetową kontrolowaną przez hakera. Malware wykonywał szkodliwe skrypty na stronie podczas swojego działania, aby zlokalizować adresy IP administratorów stron internetowych.
Plik wp-user.php prezentował sytuację prostą, ale niepokojącą. System utrzymywał konto administratora o nazwie „help”, które używało stałego hasła. Nawet jeśli właściciel strony usunął to konto, plik natychmiast by go odtworzył.
Badacze wyjaśnili, że ostrzegawcze symptomy tej infekcji obejmują dziwne pliki, takie jak „DebugMaster.php” czy „wp-user.php”, nowe lub ukryte konta administratora oraz usuwane konta, które wracają.
Rozwiązanie tego problemu polega na usunięciu szkodliwych plików i podejrzanych kont. Użytkownikom zaleca się również zresetowanie wszystkich haseł oraz aktualizację WordPressa, wtyczek i sprawdzenie dzienników serwera pod kątem niecodziennych połączeń.
Badacze stwierdzili, że te dwa pliki „stworzyły wytrzymałe podparcie na stronie internetowej”, co oznacza, że atakujący mogliby łatwo powrócić, chyba że strona zostałaby w pełni wyczyszczona i zabezpieczona.
Poprzedni artykuł
Najnowsze artykuły 
