С февраля 2025 года эксперты BI.ZONE WAF отмечают увеличение числа атак на сайты, работающие на WordPress. После публикации исследования Sucuri, в котором описана техника эксплуатации уязвимости, был зафиксирован резкий рост активности киберпреступников – более 250 попыток атак на 13 организаций за короткий период. Об этом IT Speaker рассказали в компании.
Уязвимость обнаружена в модулях must-use plugins – специфических плагинах для WordPress, которые активируются при каждой загрузке страницы и не требуют предварительной активации. Злоумышленники обычно используют содержимое must-use plugins для различных атак, таких как перенаправление посетителей на сторонние сайты, загрузка вредоносного программного обеспечения, эксплуатация веб-шеллов, которые функционируют как бэкдоры, а также загрузка вредоносного JavaScript-кода.
Поскольку угроза связана с использованием уязвимости WordPress, она не зарегистрирована в базе известных CVE, и многие системы защиты блокируют лишь последствия ее эксплуатации на основе общих правил. Исследователи BI.ZONE WAF уже разработали специальные детектирующие правила, направленные на предотвращение использования данной техники.
Ранее, по данным компании «Рег.ру», в России снизилась востребованность зарубежных онлайн-конструкторов для создания сайтов с доменами .ru и .рф. При этом отмечается рост популярности российских сервисов. С февраля 2025 года специалисты BI.ZONE WAF фиксируют рост атак на сайты WordPress — системы управления контентом (CMS) с открытым исходным кодом; при этом после публикации исследования Sucuri, где подробно описана техника эксплуатации, обнаружен резкий всплеск активности злоумышленников: более 250 попыток атак на 13 организаций за несколько дней, сообщает BI.ZONE.
Техника эксплуатации уязвимости найдена в модуле must-use plugins — это тип плагинов для WordPress, которые запускаются при каждой загрузке страницы и не требуют активации. Они представляют собой PHP-файлы, хранящиеся в директории wp-content/mu-plugins/, которые автоматически выполняются при загрузке страницы и не отображаются в панели администрирования.
Как правило, злоумышленники используют содержимое must-use plugins для перенаправления посетителей ресурса на сторонние сайты и загрузки вредоносного ПО; эксплуатации веб-шелла, который действует как бэкдор; загрузки вредоносного JavaScript-кода.
Вектор атаки еще не получил оценку по шкале CVSS, однако специалисты BI.ZONE WAF определяют ее как критическую, поскольку эта техника позволяет обращаться к веб-шеллу. В связи с тем, что угроза связана с техникой эксплуатации системы WordPress, уязвимость не входит в базу известных CVE и многие средства защиты блокируют в рамках общих правил только последствия ее эксплуатации.
В качестве превентивной защиты специалисты рекомендуют компаниям обращать внимание на возможные изменения в работе приложения или отслеживать содержание директории mu-plugins. Исследователи BI.ZONE WAF уже разработали детектирующие правила для предотвращения эксплуатации техники, найденной в плагине must-use plugins ПО WordPress. BI.ZONE WAF обеспечивает многоуровневую защиту веб‑приложений и API, блокируя попытки эксплуатации известных уязвимостей и противодействуя ботнет‑активности, говорится в сообщении.