近期，科技領(lǐng)域迎來(lái)了一則關(guān)于WordPress網(wǎng)站安全的重大警示。據(jù)bleepingcomputer在4月30日的報(bào)道，一種新型惡意軟件正悄無(wú)聲息地威脅著眾多WordPress站點(diǎn)的安全。

這款惡意軟件偽裝得極為巧妙，它化身為安全工具插件，誘騙不明真相的用戶下載并安裝。Wordfence研究團(tuán)隊(duì)對(duì)此發(fā)出了緊急警告，指出該惡意軟件一旦得手，便能賦予攻擊者持久的訪問(wèn)權(quán)限，使他們能夠遠(yuǎn)程執(zhí)行代碼并注入Java腳本。

更令人防不勝防的是，這款惡意軟件巧妙地隱藏于插件儀表盤(pán)之外，使得用戶極難察覺(jué)其存在。一旦激活，它便立即利用“emergency_login_all_admins”功能，為攻擊者提供管理員權(quán)限的便捷通道。攻擊者只需輸入一個(gè)簡(jiǎn)單的明文密碼，就能輕松掌控?cái)?shù)據(jù)庫(kù)中首個(gè)管理員賬戶，進(jìn)而登錄網(wǎng)站后臺(tái)。

Wordfence團(tuán)隊(duì)在追溯該惡意軟件的起源時(shí)，發(fā)現(xiàn)其在2025年1月末的一次網(wǎng)站清理行動(dòng)中首次現(xiàn)身。當(dāng)時(shí)，他們注意到“wp-cron.php”文件被不明勢(shì)力篡改，用于創(chuàng)建并激活一個(gè)名為“WP-antymalwary-bot.php”的惡意插件。該惡意軟件還狡猾地創(chuàng)建了多個(gè)其他惡意插件，如“addons.php”、“wpconsole.php”、“wp-performance-booster.php”和“scr.php”等。

即便管理員及時(shí)發(fā)現(xiàn)并刪除了這些惡意插件，它們?nèi)阅茉谙乱淮尉W(wǎng)站訪問(wèn)時(shí)通過(guò)“wp-cron.php”文件自動(dòng)重新生成并激活。由于服務(wù)器日志的缺失，研究人員只能推測(cè)，這次感染事件可能源于被盜的主機(jī)賬戶或FTP憑據(jù)。

這款惡意插件的威脅遠(yuǎn)不止于此。它不僅會(huì)竊取管理員權(quán)限，還會(huì)通過(guò)自定義REST API路由，將任意PHP代碼插入到網(wǎng)站的“header.php”文件中。這樣一來(lái)，攻擊者就能清除插件緩存，并執(zhí)行其他各種惡意命令，對(duì)網(wǎng)站的安全構(gòu)成極大威脅。