كشف باحثون في مجال الأمن السيبراني عن باب خلفي جديد خفي مزروع داخل دليل “mu-plugins” في مواقع ووردبريس، ما يمنح الجهات المهاجمة وصولًا دائمًا ويمكنها من تنفيذ إجراءات عشوائية عن بُعد.
الملحقات القسرية (المعروفة أيضًا بـ mu-plugins) هي ملحقات خاصة يتم تفعيلها تلقائيًا على جميع مواقع WordPress في التثبيت. وتوجد هذه الملحقات في المسار الافتراضي “wp-content/mu-plugins”.
ويجعلها هذا المسار هدفًا جذابًا للمهاجمين، إذ لا تظهر mu-plugins في قائمة الملحقات الافتراضية داخل لوحة التحكم (wp-admin)، ولا يمكن تعطيلها إلا بحذف الملف يدويًا من الدليل.
طريقة العدوى والتخفي
وفقًا لشركة أمن الويب Sucuri، فإن السكربت الضار المكتوب بلغة PHP، والمخزن في ملف “wp-index.php” داخل دليل mu-plugins، يعمل كـ “لودر” (Loader) لتحميل الحمولة الخبيثة التالية وتخزينها في قاعدة بيانات ووردبريس داخل جدول wp_options تحت اسم _hdra_core.
ويتم جلب الحمولة البعيدة من عنوان URL مشفر باستخدام خوارزمية ROT13، وهي تقنية تشفير بدائية تستبدل كل حرف بالحرف الذي يبعد عنه 13 خانة في الأبجدية (مثلًا A تصبح N وB تصبح O).
قالت الباحثة الأمنية “بوجا سريفاستافا”: “يتم حفظ المحتوى المحمّل مؤقتًا على القرص وتشغيله، ما يمنح المهاجم وصولًا دائمًا للموقع وإمكانية تنفيذ أي كود PHP عن بُعد”.
وظائف خبيثة متعددة
يقوم الباب الخلفي بحقن مدير ملفات خفي داخل مجلد القالب تحت اسم “pricing-table-3.php”، مما يتيح للمهاجمين تصفح الملفات أو تحميلها أو حذفها. كما ينشئ حساب مستخدم إداري باسم “officialwp”، ثم يقوم بتنزيل ملحق ضار آخر تحت اسم “wp-bot-protect.php” ويقوم بتفعيله تلقائيًا.
إلى جانب إعادة العدوى في حال تم حذف الملفات، يملك البرنامج الخبيث القدرة على تغيير كلمات مرور أسماء المستخدمين الإدارية الشائعة مثل “admin”، و”root”، و”wpsupport”، إلى كلمة مرور افتراضية يحددها المهاجم. وينطبق ذلك أيضًا على حساب “officialwp” الذي أنشأه المهاجم.
سيطرة كاملة وإجراءات وقائية
يُمكن للمهاجمين من خلال هذا الباب الخلفي التحكم الكامل في الموقع، وتنفيذ أنشطة ضارة تشمل سرقة البيانات، أو زرع أكواد خبيثة لنشر البرمجيات الضارة على الزائرين، أو حتى إعادة توجيه المستخدمين إلى مواقع احتيالية.
وأضافت سريفاستافا: “يحصل المهاجمون على صلاحيات مدير كاملة وباب خلفي دائم، مما يمنحهم الحرية الكاملة لتنفيذ أي نشاط على الموقع، بما في ذلك تثبيت برمجيات خبيثة جديدة أو تشويه الموقع.”
ولتفادي هذه الهجمات، يجب على أصحاب المواقع تحديث إصدارات ووردبريس والقوالب والملحقات بشكل دوري، وتفعيل المصادقة الثنائية، ومراجعة جميع أقسام الموقع بانتظام، بما في ذلك ملفات القوالب والإضافات.
