Início Últimas notícias Segurança Vulnerabilidades

Segurança digital

Hackers exploram plugins ocultos do WordPress para espalhar malware

Hackers estão abusando do diretório mu-plugins do WordPress para esconder malware, redirecionar usuários e manipular SEO. Veja como proteger seu site.

Jardeson Márcio

Imagem com a logomarca do WordPress

Os criminosos cibernéticos estão explorando o diretório “mu-plugins” do WordPress para esconder códigos maliciosos, garantir acesso remoto persistente e redirecionar usuários para sites fraudulentos.

Ataque via mu-plugins

Os mu-plugins (must-use plugins) são armazenados em um diretório especial (wp-content/mu-plugins) e executados automaticamente pelo WordPress, sem necessidade de ativação manual. Essa característica os torna um alvo atrativo para ataques cibernéticos, já que não aparecem na interface padrão do WordPress, dificultando sua detecção em verificações de segurança rotineiras.

De acordo com a pesquisadora da Sucuri, Puja Srivastava, essa abordagem é preocupante porque torna os ataques mais discretos e difíceis de serem detectados pelos administradores de sites.

Imagem com a logomarca do WordPress com fundo vermelho

Variantes de malware identificadas

Especialistas da Sucuri encontraram três variantes de código PHP malicioso sendo usadas nesse tipo de ataque:

  • wp-content/mu-plugins/redirect.php: redireciona visitantes para sites maliciosos, disfarçando-se de atualização de navegador para induzir a instalação de malware.
  • wp-content/mu-plugins/index.php: opera como um shell web, permitindo que hackers executem código remoto hospedado no GitHub.
  • wp-content/mu-plugins/custom-js-loader.php: injeta spam no site, sequestrando links e substituindo imagens por conteúdo explícito para manipular SEO e enganar visitantes.

O código malicioso inclui mecanismos para detectar se o visitante é um bot de busca, bloqueando rastreadores de mecanismos de pesquisa e evitando que o ataque seja detectado.

Ataques via WordPress para disseminação de malware

Além de redirecionar usuários para sites fraudulentos, hackers estão utilizando sites WordPress comprometidos para injetar códigos JavaScript maliciosos que:

Notícias Relacionadas

Imagem com a logomarca SonicWall

Alerta crítico

Atualização urgente: falhas críticas em VPN SonicWall colocam empresas em risco

A SonicWall emitiu um alerta para administradores de rede sobre três falhas de segurança críticas que atingem os dispositivos da linha Secure Mobile Access (SMA). Segundo a empresa, uma dessas vulnerabilidades já está sendo usada por cibercriminosos em ataques direcionados. As falhas, catalogadas como CVE-2025-32819, CVE-2025-32820 e CVE-2025-32821, foram descobertas pelo pesquisador Ryan Emmons, da […]

  • Redirecionam usuários para domínios perigosos.
  • Agem como skimmers para roubar informações financeiras em páginas de checkout.
  • Executam comandos maliciosos no Windows, disfarçados de verificações do Google reCAPTCHA ou Cloudflare CAPTCHA, para entregar o malware Lumma Stealer.

Ainda não há confirmação sobre o vetor inicial das infecções, mas especialistas suspeitam que vulnerabilidades em plugins, temas desatualizados, credenciais comprometidas e configurações inadequadas dos servidores estejam entre os principais fatores.

Vulnerabilidades exploradas

Um relatório da Patchstack revelou que os criminosos vêm explorando quatro vulnerabilidades críticas desde o início do ano:

  1. CVE-2024-27956 (CVSS 9.9) – Execução arbitrária de SQL no WordPress Automatic Plugin.
  2. CVE-2024-25600 (CVSS 10.0) – Execução remota de código no tema Bricks.
  3. CVE-2024-8353 (CVSS 10.0) – Injeção de objeto PHP no plugin GiveWP.
  4. CVE-2024-4345 (CVSS 10.0) – Upload arbitrário de arquivos no Startklar Elementor Addons.

Como proteger seu site wordpress

Para evitar ataques, administradores de sites WordPress devem adotar medidas de segurança rigorosas:

  • Manter plugins e temas sempre atualizados.
  • Realizar auditorias regulares para identificar e remover malwares.
  • Usar senhas fortes e autenticação em dois fatores.
  • Implementar um firewall de aplicação web para bloquear solicitações suspeitas.

Manter boas práticas de segurança é essencial para evitar que seu site WordPress seja usado como vetor para ataques cibernéticos.

Jardeson Márcio
Jardeson Márcio

Mais Notícias

Mais artigos
Imagem com a logomarca do WordPress

Ameaça digital

Falha crítica no OttoKit permite invasores criarem contas administrativas em sites WordPress

Uma vulnerabilidade grave recentemente identificada no plugin OttoKit, anteriormente conhecido como SureTriggers, está sendo explorada por cibercriminosos para obter controle total de sites WordPress comprometidos. A falha permite a criação de contas administrativas sem autenticação prévia, afetando diretamente mais de 100 mil sites que utilizam o plugin para automação e integração com serviços externos. A […]
Windows Server

Segurança Windows

Problema crítico de autenticação afeta controladores do Windows Server após atualizações de abril

As atualizações de segurança liberadas em abril de 2025 pela Microsoft estão gerando instabilidades nos sistemas de autenticação de controladores de domínio do Windows Server, incluindo as versões 2016, 2019, 2022 e a mais recente, 2025. Atualizações recentes da Microsoft comprometem autenticação em servidores corporativos A falha ocorre após a instalação do update cumulativo KB5055523, […]
nova-variante-de-botnet-mirai-mira-em-vulnerabilidades-em-servidores-baseados-em-linux-e-dispositivos-iot

Ciberataques crescentes

Hackers usam falhas críticas em dispositivos IoT antigos para espalhar botnet Mirai

Pesquisadores da Akamai identificaram uma campanha ativa de ciberataques que explora brechas em dispositivos IoT descontinuados, particularmente da marca GeoVision, para propagar variantes do malware Mirai. As ações maliciosas, registradas pela equipe de inteligência da Akamai (SIRT) desde abril de 2025, miram sistemas vulneráveis com o objetivo de integrá-los a uma rede usada em ataques […]