كشف باحثون في الأمن السيبراني أن جهات تهديد تستغل مجلد mu-plugins في مواقع WordPress لإخفاء برمجيات خبيثة تهدف إلى:
الحفاظ على وصول عن بُعد دائم
إعادة توجيه زوار الموقع إلى مواقع احتيالية
استبدال الصور بمحتوى فاضح
اختطاف الروابط الخارجية للترويج لروابط ضارة أو خداع محركات البحث
ما هي mu-Plugins في WordPress؟
تشير mu-plugins إلى “الإضافات الضرورية” (Must-Use Plugins)، وهي إضافات يتم تخزينها في المسار:
وتتميز بأنها تُفعّل تلقائيًا من قبل WordPress دون الحاجة لتفعيلها من لوحة التحكم، مما يجعلها مكانًا مثاليًا لإخفاء البرمجيات الضارة دون أن يلاحظها مسؤولو الموقع.
🚨 تحذير من خبراء Sucuri:
“هذا الاتجاه مقلق للغاية، إذ إن mu-plugins لا تظهر في واجهة الإضافات العادية، ما يجعل اكتشافها أصعب خلال عمليات فحص الأمان الروتينية.”
أنواع البرمجيات الخبيثة التي تم اكتشافها في mu-plugins
🔁 1. redirect.php
يعيد توجيه الزوار إلى مواقع خبيثة
يتنكر كـ “تحديث للمتصفح” لخداع المستخدم
يتضمن كودًا يميّز ما إذا كان الزائر “بوت” لتجنب اكتشافه من محركات البحث
💻 2. index.php
يعمل كـ Web Shell
يتيح للمهاجم تحميل وتنفيذ سكربتات PHP عن بُعد (مثلاً من GitHub)
📸 3. custom-js-loader.php
يحقن سبام ومحتوى فاضح عبر استبدال كل صور الموقع
يعيد توجيه الروابط الخارجية إلى صفحات خبيثة
يُستخدم غالبًا لرفع ترتيب محتوى احتيالي في نتائج البحث (SEO Spam)
هجمات إضافية على مواقع WordPress المصابة
وفقًا لتحليلات Sucuri، تستخدم بعض مواقع WordPress المخترقة لنشر برمجيات خبيثة مثل:
أوامر PowerShell ضارة في شكل تحقّق وهمي من Google reCAPTCHA أو Cloudflare CAPTCHA
نشر برمجية سرقة البيانات Lumma Stealer
تضمين سكريبتات JavaScript خبيثة لإعادة توجيه الزائر أو سرقة بيانات الدفع عند الشراء
كيف ينجح المهاجمون في اختراق مواقع ووردبريس؟
رغم عدم وجود تأكيد واضح حول طريقة الاختراق، فإن الأسباب المحتملة تشمل:
ثغرات في الإضافات أو القوالب
كلمات مرور ضعيفة أو مخترقة
إعدادات خادم غير آمنة
تحمي موقعك من هذه التهديدات؟
✅ إليك أبرز توصيات الأمان:
حدّث الإضافات والقوالب بانتظام
افحص الأكواد والمجلدات مثل mu-plugins بشكل دوري
استخدم كلمات مرور قوية ومصادقة متعددة العوامل
فعّل جدار حماية لتطبيقات الويب (WAF)
راقب سلوك الزوار والمحتوى الخارجي باستمرار
