يستخدم القراصنة الإلكترونيون مكون إضافي مزيف لـ WordPress للحفاظ على السيطرة الكاملة على الموقع

لقد وجد الباحثون أن المتسللين يستغلون مواقع WordPress من خلال أبواب خلفية مخفية، ويكتسبون السيطرة الكاملة، حتى عندما يحاول أصحاب المواقع إزالتهم.

كشفت تحقيقات حديثة قامت بهاSucuri أن هناك ملفين يحتويان على محتوى ضار تم تنكرهما كمكونات نظام ووردبريس العادية. كان الأول هو ملحق زائف يدعى “DebugMaster Pro” (./wp-content/plugins/DebugMaster/DebugMaster.php). بينما زعم الملف الثاني أنه ملف أساسي (./wp-user.php).

كلاهما صُمم للتأكد من أن المهاجمين يمتلكون دائمًا حساب مدير على الموقع. تضمن ملف DebugMaster رمزًا متقدمًا حيث أنشأ حساب مستخدم سري للمشرف. ظل DebugMaster غير مرئي أيضاً في قوائم الإضافات بينما كان يرسل معلومات تسجيل الدخول المسروقة إلى خادم بعيد.

كما أوضح التقرير: “تجبر هذه القصاصة WordPress على إنشاء مستخدم جديد يُدعى “help” مع دور المدير. إذا كان المستخدم موجودًا بالفعل، يضمن البرنامج النصي أن تتم استعادة امتيازات المدير له.”

تم تشفير التفاصيل المسروقة، بما في ذلك اسم المستخدم وكلمة المرور، وإرسالها إلى موقع ويب تحت سيطرة الهاكرز. عمل البرمجية الخبيثة على تنفيذ سكريبتات ضارة على الموقع الإلكتروني أثناء عملها لتحديد عناوين IP لمدراء المواقع.

قدم ملف wp-user.php حالة بسيطة لكنها مثيرة للقلق. كان النظام يحافظ على حساب مدير باسم “help” يستخدم كلمة مرور ثابتة. حتى إذا قام صاحب الموقع بحذف هذا الحساب، كان الملف يعيده فورا.

أوضح الباحثون أن علامات التحذير من هذا العدوى تتضمن ملفات غريبة مثل ‘DebugMaster.php’ أو ‘wp-user.php’، وحسابات المدير الجديدة أو المخفية، والحسابات المحذوفة التي تعود من جديد.

الحل لهذه المشكلة يتضمن إزالة الملفات الضارة والحسابات المشتبه فيها. ينصح المستخدمون أيضًا بإعادة تعيين كلمات المرور وتحديث WordPress والإضافات، والتحقق من سجلات الخادم للاتصالات غير العادية.

قال الباحثون إن النظامين المخزنين “أنشأا موطئ قدم متينًا على الموقع الإلكتروني”، مما يعني أن المهاجمين يمكنهم العودة بسهولة إلا إذا تم تنظيف الموقع بالكامل وتأمينه.