Onzichtbare Achterdeur in WordPress Ontdekt via Mu-Plugins

[Rudy]

Beveiligingsonderzoekers hebben een uiterst sluwe achterdeur ontdekt die zich verstopt in de ‘mu-plugins’ map van WordPress-websites. Hierdoor krijgen aanvallers permanente toegang tot de site, zonder zichtbaar te zijn voor beheerders.

De zogeheten must-use plugins (mu-plugins) worden automatisch geactiveerd op elke WordPress-installatie en verschijnen niet in het standaard overzicht van plugins in de wp-admin. Dit maakt ze uitermate aantrekkelijk voor cybercriminelen: je ziet ze niet, en je kunt ze niet uitschakelen – tenzij je het bestand handmatig verwijdert uit de wp-content/mu-plugins map.

In de praktijk wordt een kwaadaardig bestand wp-index.php gebruikt als loader die op de achtergrond een versleutelde payload binnenhaalt (ROT13 gecodeerd), opslaat in de WordPress-database onder _hdra_core, en uitvoert. Dit gebeurt allemaal buiten het zicht van de beheerder.

Deze backdoor stelt de aanvaller in staat:

Een verborgen bestandsbeheerder te plaatsen (pricing-table-3.php)

Een nieuwe administrator gebruiker toe te voegen genaamd officialwp

Een kwaadaardige plugin (wp-bot-protect.php) te activeren

Wachtwoorden van bestaande admin accounts (zoals admin, root, wpsupport) te wijzigen

Gevolg: de aanvaller krijgt volledige controle over de website en kan:

Meer malware installeren

Inhoud wijzigen of defacen

Bezoekers omleiden naar scam-websites

Beheerders buitensluiten

Wat kun je doen?
Voorkom deze ellende door:

Regelmatig WordPress, thema’s en plugins te updaten

Alle bestanden te controleren, ook in mu-plugins en themamappen

Two-Factor Authentication (2FA) in te schakelen

Alerts in te stellen voor verdachte wijzigingen in bestanden of gebruikersaccounts

Blijf alert – deze aanval is bijzonder verraderlijk doordat hij zich verstopt waar je normaal niet kijkt!

Facebook X LinkedIn WhatsApp Friendhyve

[Auteur]

Berichten