各位WordPress的站长和管理员朋友们,搬主题今天带来一则非常紧急的安全警示!据网络安全媒体报道,一个被命名为“wp-runtime-cache”的恶意插件正在悄然攻击WordPress网站,它采用了一种非常隐蔽且复杂的方法来窃取管理员凭据!这个恶意插件伪装成一个缓存插件,潜伏在wp-content/plugins目录下。它最狡猾的地方在于,它会隐藏自己,不显示在WordPress后台的插件列表中,从而逃避管理员的日常检查和发现。与那些通常在wp-admin界面提供可见设置或管理选项的合法缓存插件不同,这个假冒的“wp-runtime-cache”插件没有任何此类功能。这本身就应该在例行恶意软件扫描时引起警觉。更进一步检查,你会发现这个插件目录中只有一个文件——wp-runtime-cache.php。这与正规插件通常包含多个文件的结构形成了鲜明对比,这明显表明了其恶意意图。恶意软件如何运作?技术分析揭示了其令人不寒而栗的有效机制:激活机制:该插件通过add_action('wp_login', 'octopusJson50286', 10, 2)这个钩子,在网站登录事件期间激活,并在网站加载时捕获用户输入。目标用户:它会专门针对高权限用户,通过检查如“manage_options”(管理员级别)和“edit_pages”(编辑者级别)的角色。这些角色信息被编码在嵌入的base64字符串中。数据窃取与外传:如果登录用户符合这些高权限角色,该插件就会构建一个包含用户名和密码等敏感数据的数组,并使用WordPress内置的wp_remote_post函数,将其外传到远程服务器https://woocommerce-check[.]com/report-to。隐匿行踪:该插件还通过add_action('pre_current_active_plugins', 'pbes2PITR0339')触发的辅助功能来进一步隐藏自身,它会操纵插件列表,使其对非恶意用户保持不可见。代码混淆:它还使用了代码混淆技术,例如随机变量名(如infiltrateDocumentStore0460)和base64编码内容。搬主题认为,这与高端插件用于许可证保护的合法混淆不同,恶意软件的混淆往往更具规避性。调查发现,用于数据外传的域名woocommerce-check[.]com于2024年10月27日在美国阿肯色州注册,但其滥用联系电话却是香港的(+852.68584411)。这表明攻击者刻意试图模糊其真实来源。这类新注册的域名是网络犯罪分子常用的策略,旨在绕过基于信誉的检测系统。如何保护你的WordPress网站?这份报告强调了主动安全措施的极端重要性。WordPress管理员必须:定期审计插件和用户账户:利用服务器端扫描器或Sucuri等安全插件,检测未经授权的文件上传。实施双因素认证(2FA):即使凭据被泄露,2FA也能有效阻止未经授权的访问。IP登录限制:对登录IP进行限制,只允许特定IP地址登录后台,进一步提高安全性。更新WordPress Salts:在网站遭到入侵后,务必在wp-config.php文件中更新WordPress salts。新的salts可以轻松通过WordPress.org的Salt Generator生成,它们会使之前被捕获的哈希密码失效,从而阻止攻击者解密密码。这次事件再次警示我们,网络威胁的复杂性正在不断演变,多层防御对于保护关键网站访问至关重要。保持警惕并维护更新的安全协议,可能就是确保网站安全与遭受灾难性泄露之间的关键区别。“wp-runtime-cache”恶意插件的出现,再次证明了WordPress安全面临的严峻挑战。搬主题认为,这种伪装成常用功能(缓存),并利用高度隐蔽手段窃取管理员凭据的攻击,对站长的安全意识和技术检测能力提出了更高要求。隐蔽性强:该恶意插件不显示在后台插件列表,且只有一个文件,这使得它很难被不专业的管理员发现。目标明确:直接针对管理员和编辑者等高权限用户,一旦得手,网站将完全沦陷。利用WordPress核心机制:通过add_action和wp_remote_post等合法函数进行恶意操作,增加了其检测难度。据观察,这类攻击往往利用了管理员对网站安全疏忽的心理。因此,搬主题再次强调,站长们绝不能掉以轻心:定期进行安全审计和扫描:不要仅仅依赖后台插件列表,要使用专业的安全工具定期扫描网站文件。警惕来历不明的插件:只从官方渠道或信誉良好的开发者处获取插件。强制使用2FA:这是最有效的防盗措施之一,强烈建议所有WordPress网站开启。理解WordPress核心安全机制:了解wp-config.php中的salts作用,并知道如何在必要时更新它们。这次事件是对所有WordPress管理员的一次严厉警告,提醒大家必须将网站安全置于首位,并持续学习和更新安全知识。
THE END
