Cảnh báo plugin giả mạo trên WordPress có thể mở cửa hậu cho hacker

Plugin giả danh bảo mật trên WordPress đang đe dọa nghiêm trọng đến bảo mật website bằng cách cấp quyền quản trị trái phép

Một loại plugin độc hại giả mạo công cụ bảo mật trên WordPress đã được phát hiện. Plugin này mang tên "WP-antymalwary-bot.php" nhưng thực chất cho phép hacker duy trì quyền truy cập quản trị, ẩn mình khỏi bảng điều khiển và thực thi mã độc từ xa.

Sau khi cài đặt, plugin độc hại cung cấp quyền quản trị viên cho kẻ tấn công, sử dụng REST API để chạy mã PHP độc hại, tiêm mã JavaScript vào giao diện trang và xóa bộ nhớ đệm của các plugin caching phổ biến. Nó còn đi kèm một tệp wp-cron.php độc hại giúp tự động khôi phục plugin nếu bị xóa.

Ngoài ra, các biến thể khác của plugin này tồn tại dưới các tên như "addons.php", "wpconsole.php", "wp-performance-booster.php" và "scr.php". Hiện vẫn chưa rõ cách các trang web bị cài plugin này, nhưng có dấu hiệu cho thấy kẻ tấn công sử dụng ngôn ngữ tiếng Nga.

Plugin giả mạo này hoạt động như thế nào?
Plugin giả danh bảo mật nhưng lại cấp quyền quản trị viên cho hacker, thực thi mã độc và tiêm mã vào trang web. Nó ẩn mình và có thể tự khôi phục khi bị xóa.

Làm thế nào để phát hiện và loại bỏ plugin độc hại này?
Kiểm tra thư mục plugin để tìm các tệp lạ như "WP-antymalwary-bot.php", "addons.php", "wpconsole.php". Kiểm tra các tệp wp-cron.php và header.php để phát hiện mã độc. Sử dụng các công cụ bảo mật uy tín để quét và loại bỏ mã độc.

Làm sao để bảo vệ trang web khỏi plugin giả mạo?
Chỉ cài plugin từ nguồn đáng tin cậy. Cập nhật thường xuyên WordPress và plugin. Sử dụng plugin bảo mật uy tín. Quét bảo mật định kỳ để phát hiện và xử lý mã độc kịp thời.

Nên làm gì khi nghi ngờ trang web bị nhiễm plugin độc hại?
Ngắt kết nối trang web để hạn chế thiệt hại. Sao lưu trang web và dữ liệu. Sử dụng công cụ bảo mật để quét và loại bỏ mã độc. Khôi phục trang web từ bản sao lưu sạch nếu cần thiết. Thay đổi mật khẩu liên quan đến trang web.

Hương