Hackers Exploit WordPress mu-Plugins to Inject Spam and Hijack Site Images
Hiding WordPress malware in the mu-plugins directory to avoid detection
Hiding WordPress malware in the mu-plugins directory to avoid detection
Sucuri researchers spotted threat actors deploying WordPress malware in the mu-plugins directory to evade security checks.
securityaffairs.com
Threat Actors Embed Malware in WordPress Sites to Enable Remote Code Execution
Threat Actors Embed Malware in WordPress Sites to Enable Remote Code Execution
Security researchers have uncovered a new wave of cyberattacks targeting WordPress websites through the exploitation.
gbhackers.com
- 공격 개요
- WordPress의 mu-plugins 디렉토리는 활성화 없이 자동 실행되는 플러그인 전용 영역으로, 표준 관리자 UI에 노출되지 않음
- 이 디렉토리의 특성을 악용하여 공격자는 탐지 회피 및 지속적 악성코드 실행을 가능하게 함
- 주된 악용 목적은 웹쉘 설치, 리디렉션 유도, 이미지/링크 변조를 통한 SEO 스팸 및 피싱 사이트 유도
- 주요 악성코드 유형
- redirect.php
- 웹사이트 방문자를 악성 사이트로 리디렉션
- 가짜 브라우저 업데이트 또는 CAPTCHA 창으로 위장
- 봇/검색 엔진 크롤러를 제외한 일반 사용자만 대상으로 작동
- 데이터 탈취 또는 악성코드 추가 설치 유도
- index.php
- 웹쉘 기능을 수행하는 파일로, 외부 GitHub 등에서 PHP 스크립트를 다운로드해 실행
eval(),file_get_contents(),cURL을 통해 원격 코드 실행(RCE)을 수행- 서버 내 완전한 제어권 확보 및 추가 악성코드 설치 가능
- custom-js-loader.php
- 이미지 변조(음란물 교체), 아웃바운드 링크 하이재킹을 통해 사이트 평판 저하 유도
- SEO 조작 및 사용자 피싱 페이지로 리디렉션 수행
- 사이트 내 자바스크립트 요소를 스팸 콘텐츠로 대체
- redirect.php
- 감염 징후 및 탐지 포인트
- 비정상적인 리디렉션 발생, 관리자 패널에는 나타나지 않는 플러그인 실행
- mu-plugins 디렉토리 내 의미 없는 파일명 또는 위장된 PHP 파일 존재
- 비정상적인 서버 리소스 사용률 증가 및
robots.txt,sitemap.xml파일 변조 - 웹사이트 이미지가 외설 콘텐츠로 대체되거나 링크가 피싱 사이트로 연결
- 침투 벡터 및 원인
- CVSS 10.0 수준의 고위험 취약점을 포함한 워드프레스 플러그인 및 테마
- CVE-2024-25600: Bricks 테마 RCE
- CVE-2024-8353: GiveWP 플러그인 RCE
- CVE-2024-4345: Startklar Elementor Addons 파일 업로드 취약점
- 관리자 계정 탈취(Brute-force, 피싱) 및 서버 구성 오류
wp-content/uploads디렉토리에 파일 업로드 후, mu-plugins에 링크하여 실행
- CVSS 10.0 수준의 고위험 취약점을 포함한 워드프레스 플러그인 및 테마
- 보안 권고
- mu-plugins 디렉토리 정기적 검사 및 예상치 못한 파일 존재 시 격리 또는 삭제
- WAF(Web Application Firewall) 도입 및
file integrity monitoring설정 - 모든 플러그인, 테마 및 워드프레스 코어 최신 버전 유지
- 강력한 관리자 비밀번호 정책 및 2FA(이중 인증) 적용
robots.txt,.htaccess, sitemap 등 주요 파일 변조 여부 주기적 점검- 로그 기반 이상 행위 탐지 및 사이트 행동 분석을 통한 침입 시도 식별
- 결론
- WordPress mu-plugins 디렉토리는 공격자에게 높은 은폐성과 지속성을 제공하는 이상적인 백도어 경로
- 단일 악성 파일이 아닌 다중 단계의 스크립트 연계를 통한 공격 구조를 활용
- 단순 리디렉션부터 RCE, SEO 스팸까지 복합 위협을 야기하며 사이트 평판 및 사용자 안전에 중대한 영향을 미침
- 웹사이트 운영자는 시스템 무결성 점검과 취약점 패치 외에도 mu-plugins에 대한 집중 감시체계를 수립해야 함
'Kant's IT > Vulnerability' 카테고리의 다른 글
| Canon 프린터 드라이버 취약점(CVE-2025-1268) 분석 (1) | 2025.05.10 |
|---|---|
| Apache Camel 원격 코드 실행 취약점(CVE-2025-27636, CVE-2025-29891) 분석 및 악용 탐지 사례 (0) | 2025.05.10 |
| 크롬과 파이어폭스에서 발견된 제로데이 취약점과 APT 캠페인 분석 (1) | 2025.05.10 |
| GLPI ITSM 도구의 SQL 인젝션 취약점(CVE-2025-24799) 분석 (1) | 2025.05.09 |
| Tor 브라우저 14.0.8 윈도우 긴급 보안 업데이트 (0) | 2025.05.09 |