Инфобез
Ваша экономия — их доступ: как «обнуленные» плагины губят безопасность WordPress
Специалисты подразделения Wordfence Threat Intelligence зафиксировали масштабную операцию по заражению сайтов, в основе которой лежит использование так называемых «nulled-плагинов».
Речь идет о нелегальных копиях платных расширений для WordPress, которые модифицируются сторонними лицами для бесплатного распространения.
Исследование подтвердило: подобные пакеты — идеальный транспорт для вредоносного ПО.
Хакеры вшивают деструктивный код прямо в ядро плагина, что позволяет им обходить стандартные фильтры безопасности и сохранять скрытое присутствие на сервере.
Суть проблемы: Администраторы сами создают бреши в защите, пытаясь сэкономить на покупке лицензионного софта. Установка зараженных версий делает владельцев ресурсов невольными соучастниками атак на собственные сайты.
Механика проникновения и маскировки
Первые данные о новой угрозе поступили в конце августа 2025 года. Анализ инцидентов показал, что на взломанных ресурсах обнаруживались поддельные версии двух известных премиум-плагинов, которые и послужили «входной дверью» для злоумышленников.
Для скрытия своей деятельности хакеры применяли следующие методы:
- Мимикрия: Тщательное копирование структуры каталогов и метаданных оригинальных дополнений.
- Сложная обфускация: Использование обратного написания строк, чехарда с системами кодирования и внедрение HTML-сущностей.
- Визуальная маскировка: Внедрение CSS и JavaScript, которые скрывают вредоносные плагины из списка установленных в панели управления.
Эволюция угроз и захват контроля
Ключевая задача вируса — парализовать защиту. В ранних версиях вредонос просто переименовывал папку защитного решения Wordfence, полностью отключая его функции.
Позже код научился манипулировать сразу несколькими каталогами через гибкие веб-запросы.
Второй этап атаки — захват административных прав:
-
Принудительное создание пользователя с именем
wp_admin_1. - Наделение максимальными полномочиями уже имеющихся аккаунтов.
- Динамическая смена логинов, паролей и почтовых адресов для закрепления в системе.
Важное предупреждение
Даже если вирус имитирует работу настоящего инструмента безопасности, его истинная цель может варьироваться от кражи данных пользователей до установки скриптов для выкачивания платежной информации в интернет-магазинах.
Итог и рекомендации
Специалисты единогласны: использование нелицензионных тем и расширений — это неоправданный риск.
Копеечная экономия на лицензии неизбежно оборачивается колоссальными репутационными и финансовыми потерями.
Единственный надежный способ защиты — полный отказ от использования «обнуленного» ПО и использование только официальных репозиториев и магазинов разработчиков.
