WordPress siteleri, aldatıcı bir anti-yazılım eklentisi tarafından tehdit altındadır. Bu kötü amaçlı yazılımın arka kapı erişimini nasıl sağladığını, kendini gizlediğini ve hatta temel dosyaları nasıl değiştirdiğini öğrenin wp-cron.php kalıcılık için. Korumaya devam edin.
WordFence’deki güvenlik araştırmacıları kısa süre önce WordPress web sitelerini hedefleyen zor bir kötü amaçlı yazılım parçasını ortaya çıkardı. Bu kötü amaçlı yazılım, genellikle dosya sisteminde görünen gerçek bir materyal yazılım önleyici eklenti gibi görünecek şekilde tasarlanmıştır. ‘WP-antymalwary-bot.php’.
WordFence Tehdit İstihbarat Team’in teknik blog yayınına göre, bu sahte eklenti birkaç tehlikeli yetenek içeriyor. Saldırganların enfekte olmuş bir web sitesini kontrol etmesine, WordPress yönetici kontrol panelinden gizlemesine ve kötü amaçlı kod kodunu uzaktan yürütmesine izin verir. Ayrıca, bir C&C sunucusuna bilgi gönderen, diğer dizinlere yayılan ve daha sonra istenmeyen reklamları görüntülemek için kullanılan zararlı JavaScript enjekte eden bir “pinging” işlevine sahiptir.
Daha fazla analiz, kötü amaçlı yazılımların bir check_plugin Durum kontrolleri için parametre alın ve daha tehlikeli bir şekilde emergency_login Parola sağlayarak anında yönetici erişimi için parametre alın. Ayrıca, bir yayın isteği yoluyla uzaktan kod yürütme için REST API’sını kullanır. execute_admin_commandönbellek temizleme veya PHP kodunun tema başlıklarına enjekte edilmesini etkinleştirme. Hide_plugin_from_list işlevi onu yönetici kontrol panelinden gizler.
Kötü amaçlı yazılım genellikle, eklentiyi kaldırılırsa eklentiyi yeniden etkinleştirebilen değiştirilmiş bir wp-cron.php dosyası ile birlikte gelir, yani eklenti dosyası silinmiş olsa bile, kötü amaçlı kod wp-cron.php bir sonraki site ziyaretine yeniden yükleyerek kalıcılık sağlayabilir.
Bir C&C sunucusuna güncellenmiş bir sürüm raporları45.61.136.85) ve farklı bir yabancı ads.php dosyasından getirerek ve JavaScript’i başlığa enjekte ederek kod enjeksiyonunu farklı şekilde işler. Ayrıca, gelecekte kullanımı öngörerek reklam sunucusu URL’lerini depolar.
İlk enfeksiyon muhtemelen ortaya çıkar wp-cron.phpmuhtemelen tehlikeye atılan barındırma veya FTP kimlik bilgileri yoluyla. Kötü amaçlı yazılım gibi isimler altında görüldü WP-antymalwary-bot.php Ve addons.php.
Şirketin blog yayınına göre, sorun 22 Ocak 2025’te, bir WordFence güvenlik analisti tarafından gerçekleştirilen bir web sitesi temizliği sırasında keşfedildi ve ardından belirli bir kötü amaçlı yazılım imzası (kötü amaçlı kod için benzersiz bir tanımlayıcı) yayınlandı.
O zamandan beri, bu kötü amaçlı yazılımların birçok yeni sürümü ortaya çıktı, ancak WordFence, Ocak ayından itibaren orijinal imzalarının hala bunları tespit etmede etkili olduğunu doğruladı. Ekstra bir güvenlik katmanı sağlamak için, 23 Nisan 2025’te WordFence premium, bakım ve yanıt kullanıcıları için bir güvenlik duvarı kuralı (kötü amaçlı etkinlikleri engellemek için bir dizi talimat) yayınlandı ve kötü amaçlı yazılım dosyasının yürütülmesini önledi. Ücretsiz WordFence kullanıcıları bu ek korumayı 23 Mayıs 2025’te alacaklar.
Bir güvenlik eklentisi olarak akıllıca gizlenen bu WordPress kötü amaçlı yazılım, web sitesi sahiplerini hedefleyen sürekli ve giderek daha sofistike tehditleri gösterir. Gelişmiş kalıcılık mekanizması, etkilenen web siteleri için kapsamlı bir temizlik çok önemli hale getirir. Son olarak, web sitesi sahiplerine gelişmekte olan tehditler hakkında bilgi sahibi olmaları, saygın güvenlik eklentileri kullanmaları ve sitelerini etkili bir şekilde korumak için zamanında güncellemeler sağlamaları şiddetle tavsiye edilir.