Fale Conosco

Hackers usam mu-plugins para acesso oculto no WordPress

Por

Uma técnica sofisticada de persistência em ambientes WordPress foi identificada recentemente por pesquisadores de segurança. Hackers estão utilizando a pasta mu-plugins para instalar backdoors quase invisíveis, capazes de manter acesso administrativo total mesmo após tentativas de limpeza ou redefinição de plugins.

A ameaça chama atenção não apenas pela profundidade do controle que permite, mas também pela sua capacidade de evasão e manutenção silenciosa no sistema.

O que são mu-plugins?

Mu-plugins (Must-Use Plugins) são plugins carregados automaticamente pelo WordPress, localizados na pasta /wp-content/mu-plugins/. Eles não podem ser desativados pelo painel de administração e, geralmente, não aparecem na interface convencional do wp-admin.

Embora esse recurso tenha finalidades legítimas, como a execução de código obrigatório para ambientes corporativos ou gerenciados, sua invisibilidade torna essa estrutura um ponto ideal para esconder ameaças persistentes.

Como o ataque é realizado

A campanha identificada se inicia com a criação de um arquivo chamado wp-index.php dentro da pasta mu-plugins. Esse arquivo age como um loader, carregando código remoto de um domínio controlado pelo invasor.

Pessoa com capuz sentada em frente a várias telas exibindo códigos, representando um hacker operando em ambiente escuro.

O conteúdo do payload é ofuscado usando a técnica ROT13 (uma substituição simples de letras). Após decodificação, o script injeta comandos diretamente no banco de dados, armazenando informações na tabela wp_options.

Uma das ações mais críticas realizadas pelo malware é a criação de um novo usuário administrador oculto, geralmente chamado officialwp. Além disso, ele instala um plugin adicional (wp-bot-protect.php) que permite:

  • Upload e exclusão de arquivos diretamente no servidor;
  • Navegação interna por diretórios;
  • Execução de comandos personalizados remotamente.

Persistência e discrição

A combinação de mu-plugins com um loader ofuscado e controle remoto torna essa técnica extremamente resistente a detecção por ferramentas convencionais. Mesmo após tentativas de limpeza, remoção de plugins suspeitos ou redefinição de senhas, o malware continua ativo e reinjeta seus componentes assim que o WordPress é carregado novamente.

Além disso, o uso de técnicas como ROT13 e armazenamento no banco de dados ajuda a evitar a identificação por scanners automáticos, que normalmente buscam por padrões conhecidos de injeção.

Impactos diretos para empresas

Esse tipo de infecção representa risco elevado para qualquer operação baseada em WordPress, especialmente em sites corporativos, e-commerces e portais com áreas de login.

Homem preocupado diante de um laptop, sugerindo frustração ou problema cibernético
  • Controle total do site: O invasor pode alterar conteúdo, extrair dados ou instalar mais malwares.
  • Comprometimento da reputação: Backdoors silenciosos podem ser usados para ataques futuros, afetando usuários sem o conhecimento da empresa.
  • Riscos legais e regulatórios: Vazamento de dados ou desfiguração de site podem resultar em sanções conforme a LGPD ou normas do setor.

Como detectar e remover

  1. Acesse a pasta /mu-plugins/: Verifique a existência de arquivos que não fazem parte da instalação original ou não foram criados por sua equipe.
  2. Busque por wp-index.php ou nomes semelhantes: Especialmente aqueles com chamadas externas ou funções ofuscadas.
  3. Verifique a tabela wp_options no banco de dados: Em busca de entradas não reconhecidas relacionadas a scripts ou loaders.
  4. Remova usuários desconhecidos: Como officialwp, mesmo que não apareçam diretamente no painel.
  5. Use ferramentas de varredura especializadas: Que analisam tanto arquivos quanto alterações no banco de dados.
  6. Ative autenticação em dois fatores (2FA) e revise todos os acessos administrativos.

Prevenção: medidas recomendadas

Mãos digitando em um notebook com ícones de cadeado sobrepostos, simbolizando segurança digital e proteção de dados.
  • Implemente monitoramento de arquivos para alterações fora do fluxo natural de atualização.
  • Restrinja permissões de escrita em diretórios como mu-plugins e wp-content quando não utilizados.
  • Realize auditorias de segurança periódicas, com varredura completa do sistema e do banco de dados.
  • Mantenha backups limpos e testados regularmente, de preferência armazenados fora do ambiente principal.
  • Utilize firewall de aplicação web (WAF) para bloquear cargas maliciosas e scripts remotos.

Conclusão

A exploração de mu-plugins como vetor de persistência marca um novo patamar na sofisticação de ataques a WordPress. Ao explorar uma funcionalidade legítima e pouco visível, os invasores conseguem manter controle prolongado sem levantar suspeitas imediatas.

Esse caso reforça a necessidade de ações proativas em cibersegurança, incluindo monitoramento contínuo, auditoria de plugins e uma postura rigorosa na gestão de permissões e acessos.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *