Pesquisadores da Sucuri identificaram um backdoor sofisticado escondido no diretório “mu‑plugins” do WordPress que permite a invasores manter acesso administrativo persistente. Essa ameaça silenciosa coloca em risco sites e dados de usuários.
O malware é inserido em “wp-content/mu-plugins/wp-index.php” e baixa um payload ofuscado (via ROT13), que então é salvo na tabela _hdra_core no banco de dados. A partir daí, executa comandos como inserção de “pricing-table-3.php”, um gerenciador de arquivos oculto, criação do usuário administrador “officialwp” e instalação de plugin malicioso “wp-bot-protect.php” . Além disso, redefine senhas de contas típicas (“admin”, “root”, “wpsupport”) e da própria “officialwp”, assegurando controle exclusivo para o invasor. Com acesso total, eles podem roubar dados, injetar código malicioso em visitantes ou redirecionar usuários para sites de golpe.
Dica de prevenção
– Mantenha o WordPress, temas e plugins sempre atualizados;
– Ative autenticação de dois fatores (2FA) para contas administrativas;
– Realize auditorias regulares nos diretórios wp-content, incluindo mu-plugins;
– Verifique o banco de dados por entradas suspeitas como _hdra_core;
– Use ferramentas de segurança que monitorem alterações em arquivos e identificam novos usuários admins.
O uso malicioso de mu‑plugins revela o perigo de ameaças escondidas, mesmo em locais pouco comuns. Administradores devem reforçar controles, aplicar atualizações constantes e monitorar estruturas internas do site. Se você busca proteger seu WordPress com mais segurança e tranquilidade, conheça os serviços da LC SEC. Acesse lcsec.io e reforce a proteção do seu ambiente digital.