O que é um backdoor furtivo em mu-plugins do WordPress

Pesquisadores da Sucuri identificaram um backdoor sofisticado escondido no diretório “mu-plugins” do WordPress que permite a invasores manter acesso administrativo persistente. Essa ameaça silenciosa coloca em risco sites e dados de usuários.

Como funciona

O malware é inserido em “wp-content/mu-plugins/wp-index.php” e baixa um payload ofuscado (via ROT13), que então é salvo na tabela _hdra_core no banco de dados. A partir daí, executa comandos como inserção de “pricing-table-3.php”, um gerenciador de arquivos oculto, criação do usuário administrador “officialwp” e instalação de plugin malicioso “wp-bot-protect.php”. Além disso, redefine senhas de contas típicas (“admin”, “root”, “wpsupport”) e da própria “officialwp”, assegurando controle exclusivo para o invasor.

Com acesso total, eles podem roubar dados, injetar código malicioso em visitantes ou redirecionar usuários para sites de golpe.

Sinais de alerta / Como identificar

É importante ficar atento a sinais de alerta que podem indicar a presença do backdoor, como:

• Alterações inesperadas em arquivos no diretório mu-plugins.
• Criação de usuários administrativos não autorizados.
• Modificações nas senhas de contas administrativas.

O que fazer agora / Como se proteger

Para proteger seu site WordPress contra essa ameaça, siga as recomendações abaixo:

1. Mantenha o WordPress, temas e plugins sempre atualizados.
2. Ative autentica��ão de dois fatores (2FA) para contas administrativas.
3. Realize auditorias regulares nos diretórios wp-content, incluindo mu-plugins.
4. Verifique o banco de dados por entradas suspeitas como _hdra_core.
5. Use ferramentas de segurança que monitorem alterações em arquivos e identifiquem novos usuários admins.

Prevenção / Boas práticas

O uso malicioso de mu-plugins revela o perigo de ameaças escondidas, mesmo em locais pouco comuns. Administradores devem reforçar controles, aplicar atualizações constantes e monitorar estruturas internas do site.