Hackers abusan de los MU Plugins de WordPress para Ocultar Código Malicioso

Los atacantes están utilizando el directorio de mu-plugins (plugins de uso obligatorio) en WordPress para ejecutar código malicioso de manera sigilosa en cada página, evadiendo la detección y afectando la seguridad de los sitios web.

¿Qué son los mu-Plugins?

Los mu-plugins son un tipo especial de plugin en WordPress que se ejecutan automáticamente en cada carga de página sin necesidad de ser activados desde el panel de administración.

Se almacenan en el directorio wp-content/mu-plugins/ y son invisibles a menos que se filtre específicamente la sección «Must-Use» en la lista de plugins.

Si bien los mu-plugins tienen aplicaciones legítimas, como aplicar reglas de seguridad personalizadas o mejorar el rendimiento del sitio, su capacidad para ejecutarse sin ser visibles en el panel de administración los convierte en un blanco atractivo para los atacantes.

¿Cómo los Hackers Están Abusando de los mu-Plugins?

Investigadores de seguridad de Sucuri han identificado que los atacantes están utilizando el directorio mu-plugins para plantar tres tipos distintos de código malicioso:

1. redirect.php: Este archivo redirige a los visitantes (excluyendo bots y administradores) a un sitio web malicioso (updatesnow[.]net), el cual muestra una falsa ventana emergente de actualización del navegador para engañar a los usuarios y hacerlos descargar malware.
2. index.php: Un webshell que actúa como una puerta trasera, permitiendo a los atacantes ejecutar código PHP de manera remota desde un repositorio en GitHub. Este tipo de acceso les otorga un control total sobre el servidor comprometido.

3. custom-js-loader.php: Carga JavaScript que reemplaza todas las imágenes del sitio con contenido explícito y secuestra todos los enlaces salientes, abriendo ventanas emergentes sospechosas en lugar de redirigir a las páginas correctas.

Riesgos para los Sitios Web

El uso de estas técnicas maliciosas puede tener efectos devastadores:

Pérdida de Reputación y Puntuación SEO: Las redirecciones a sitios maliciosos dañan la reputación del sitio y afectan negativamente su clasificación en motores de búsqueda.

Instalación de Malware: Los visitantes del sitio pueden ser engañados para que descarguen malware al ser redirigidos a sitios falsos de actualizaciones.

Acceso Remoto No Autorizado: Con el webshell, los atacantes pueden ejecutar comandos en el servidor comprometido, robar datos e incluso lanzar ataques adicionales a los visitantes del sitio.

Posibles Vías de Infección ️‍♂️

Aunque Sucuri no ha podido determinar con certeza cómo se llevan a cabo estas infecciones, se sospecha que los atacantes explotan vulnerabilidades conocidas en plugins y temas, o que se aprovechan de credenciales de administrador débiles.

Recomendaciones de Seguridad ️

Si quieres proteger los sitios de WordPress contra este tipo de ataques, Sucuri recomienda a los administradores de sitios web:

1. Mantener Plugins y Temas Actualizados: Instalar las últimas actualizaciones de seguridad para evitar que los atacantes exploten vulnerabilidades conocidas.

2. Eliminar o Desactivar Plugins Innecesarios: Evitar mantener plugins y temas que no sean esenciales para el funcionamiento del sitio.

3. Fortalecer las Cuentas Administrativas: Proteger las cuentas privilegiadas con contraseñas fuertes y habilitar la autenticación multifactor (MFA) para reducir el riesgo de acceso no autorizado.

---

Conclusión

El abuso de mu-plugins por parte de los atacantes es una táctica peligrosa que explota la invisibilidad y la ejecución automática de estos plugins para infiltrar código malicioso en los sitios de WordPress.

Los administradores deben tomar medidas proactivas para asegurar sus sitios, aplicando las mejores prácticas de seguridad para minimizar los riesgos.