Pesquisadores de segurança digital identificaram uma nova ameaça direcionada a sites WordPress que utiliza um plugin fraudulento, apresentado como ferramenta de proteção, para obter controle total sobre os sistemas das vítimas. O golpe se apoia na aparência confiável do plugin para enganar administradores e garantir persistência dentro da infraestrutura comprometida.
Nova campanha maliciosa compromete sites WordPress com backdoor disfarçado de plugin de segurança
A descoberta foi feita pela equipe da Wordfence, especializada em segurança para WordPress, durante a limpeza de um site em janeiro de 2025. Os especialistas detectaram uma versão modificada do arquivo wp-cron.php, responsável por tarefas agendadas no WordPress. Essa alteração permitia a criação automática de um plugin malicioso chamado WP-antymalwary-bot.php.
Como funciona o ataque
O plugin fraudulento não aparece visivelmente no painel administrativo, o que dificulta sua detecção. Mesmo quando removido, o código dentro do wp-cron.php recria e ativa o plugin automaticamente na próxima visita ao site.
Além do nome citado, outros plugins maliciosos encontrados nessa campanha incluem:
- complementos.php
- wpconsole.php
- wp-performance-booster.php
- scr.php
O principal objetivo do plugin é conceder acesso remoto aos invasores, executar comandos arbitrários e injetar códigos JavaScript nos sites infectados. Uma das funções mais perigosas, chamada emergency_login_all_admins, permite que os criminosos acessem contas de administradores apenas fornecendo uma senha em texto simples.
Técnicas de invasão e persistência
A função emergency_login utiliza o parâmetro GET para ativar o login emergencial. Se a senha fornecida for a correta, ela localiza todos os usuários com nível de administrador no banco de dados, escolhe o primeiro e autentica o atacante como se fosse esse usuário legítimo.
O plugin ainda registra uma rota REST personalizada e não autenticada, que permite a execução de comandos avançados, como:
- Inserção de código PHP malicioso nos arquivos header.php dos temas ativos
- Limpeza forçada de caches
- Execução de instruções via requisições POST
Versões mais recentes do malware adicionam scripts JavaScript codificados em base64 no cabeçalho do site, possivelmente para fins de exibição de anúncios fraudulentos, redirecionamento de visitantes ou disseminação de spam.
Possíveis origens e conexões suspeitas
Embora a origem exata da infecção ainda não seja totalmente compreendida, a hipótese mais aceita é que ocorra por meio de contas de hospedagem comprometidas ou credenciais de FTP vazadas. Os servidores de comando e controle (C2) estão localizados em Chipre, e algumas características lembram ataques à cadeia de suprimentos registrados em junho de 2024.
Como identificar e remover o plugin
Proprietários de sites WordPress devem monitorar cuidadosamente os seguintes arquivos:
- wp-cron.php: verifique alterações não autorizadas
- header.php: busque por códigos adicionados recentemente
Além disso, registros de acesso com os termos emergency_login, check_plugin, urlchange e key são sinais claros de uma possível invasão e devem motivar uma investigação urgente.
Medidas de proteção
- Mantenha todos os plugins e temas atualizados
- Verifique regularmente o código-fonte de arquivos principais
- Use plugins de segurança confiáveis, como Wordfence ou Sucuri
- Altere senhas FTP e do painel de administração com frequência
- Ative autenticação em duas etapas (2FA)
Ataques como esse reforçam a importância de um monitoramento constante e de boas práticas de segurança digital para manter sites WordPress protegidos contra ameaças cada vez mais sofisticadas.