新型 WordPress 惡意軟件曝光：偽裝成安全工具，管理員權限瞬間淪陷

　　5 月 1 日消息，科技媒體 bleepingcomputer 昨日(4 月 30 日)發布博文，報道了一種針對 WordPress 網站的新型惡意軟件，偽裝成安全工具插件，誘導用戶下載并安裝。

　　Wordfence 研究團隊警告稱，該惡意軟件能賦予攻擊者持續的訪問權限，允許他們執行遠程代碼并注入 JavaScript 腳本。更狡猾的是，它隱藏在插件儀表盤之外，讓用戶難以察覺其存在。

　　該惡意軟件一旦激活，立即通過“emergency_login_all_admins”功能為攻擊者提供管理員權限。攻擊者只需輸入明文密碼，即可獲取數據庫中首個管理員賬戶的控制權，登錄網站后臺。

　　Wordfence 團隊在 2025 年 1 月末的一次網站清理中首次發現該惡意軟件。他們注意到“wp-cron.php”文件被篡改，用于創建并激活名為“WP-antymalwary-bot.php”的惡意插件。

　　IT之家援引博文介紹，此外該惡意軟件還會創建“addons.php”、“wpconsole.php”、“wp-performance-booster.php”和“scr.php”等惡意插件。

　　即使管理員刪除這些插件，“wp-cron.php”會在下一次網站訪問時自動重新生成并激活它們。由于缺乏服務器日志，研究人員推測感染可能源于被盜的主機賬戶或 FTP 憑據。

　　該惡意插件不僅竊取管理員權限，還通過自定義 REST API 路由插入任意 PHP 代碼到網站的“header.php”文件中，清除插件緩存，并執行其他命令。