近期，科技領(lǐng)域迎來了一則關(guān)于WordPress網(wǎng)站安全的重大警示。據(jù)bleepingcomputer在4月30日的報(bào)道，一種新型惡意軟件正悄無聲息地威脅著眾多WordPress站點(diǎn)的安全。

這款惡意軟件偽裝得極為巧妙，它化身為安全工具插件，誘騙不明真相的用戶下載并安裝。Wordfence研究團(tuán)隊(duì)對此發(fā)出了緊急警告，指出該惡意軟件一旦得手，便能賦予攻擊者持久的訪問權(quán)限，使他們能夠遠(yuǎn)程執(zhí)行代碼并注入Java腳本。

更令人防不勝防的是，這款惡意軟件巧妙地隱藏于插件儀表盤之外，使得用戶極難察覺其存在。一旦激活，它便立即利用“emergency_login_all_admins”功能，為攻擊者提供管理員權(quán)限的便捷通道。攻擊者只需輸入一個簡單的明文密碼，就能輕松掌控?cái)?shù)據(jù)庫中首個管理員賬戶，進(jìn)而登錄網(wǎng)站后臺。

Wordfence團(tuán)隊(duì)在追溯該惡意軟件的起源時，發(fā)現(xiàn)其在2025年1月末的一次網(wǎng)站清理行動中首次現(xiàn)身。當(dāng)時，他們注意到“wp-cron.php”文件被不明勢力篡改，用于創(chuàng)建并激活一個名為“WP-antymalwary-bot.php”的惡意插件。該惡意軟件還狡猾地創(chuàng)建了多個其他惡意插件，如“addons.php”、“wpconsole.php”、“wp-performance-booster.php”和“scr.php”等。

即便管理員及時發(fā)現(xiàn)并刪除了這些惡意插件，它們?nèi)阅茉谙乱淮尉W(wǎng)站訪問時通過“wp-cron.php”文件自動重新生成并激活。由于服務(wù)器日志的缺失，研究人員只能推測，這次感染事件可能源于被盜的主機(jī)賬戶或FTP憑據(jù)。

這款惡意插件的威脅遠(yuǎn)不止于此。它不僅會竊取管理員權(quán)限，還會通過自定義REST API路由，將任意PHP代碼插入到網(wǎng)站的“header.php”文件中。這樣一來，攻擊者就能清除插件緩存，并執(zhí)行其他各種惡意命令，對網(wǎng)站的安全構(gòu)成極大威脅。