Кажется, ваш сайт на WordPress взломали. И, скорее всего, вы сами в этом виноваты

leer en español

Wordfence WordPress nulled-плагины вредоносное ПО администратор взлом сайтов безопасность
Кажется, ваш сайт на WordPress взломали. И, скорее всего, вы сами в этом виноваты
Wordfence WordPress nulled-плагины вредоносное ПО администратор взлом сайтов безопасность

Nulled-плагины отлично выполняют свои функции — но есть нюанс.

image

Исследователи из Wordfence Threat Intelligence сообщили о масштабной кампании, связанной с использованием так называемых «nulled-плагинов» — пиратских копий премиальных расширений для WordPress , изменённых третьими сторонами.

Выяснилось, что такие поддельные пакеты становятся удобным инструментом для злоумышленников: они внедряют вредоносный код прямо в структуру плагина, что позволяет обходить защитные механизмы и обеспечивать постоянный доступ к скомпрометированным сайтам. Фактически владельцы ресурсов сами открывают дорогу атакующим, устанавливая заражённые версии ради экономии на лицензиях.

Первые образцы этой вредоносной программы были переданы в Wordfence 26 августа 2025 года. Уже 2 сентября компания выпустила шесть сигнатур для её выявления. Исследование показало, что на одном из заражённых сайтов присутствовали подозрительные копии двух популярных платных плагинов. Их изменённые версии стали входной точкой для атаки.

Злоумышленники маскировали плагины под оригиналы, меняя метаданные и структуру каталогов. Вредоносная нагрузка была скрыта при помощи нетипичных методов обфускации: строки записывались в обратном порядке, применялись разные системы кодирования, лишние вызовы функций и HTML-сущности, что затрудняло анализ.

Основная цель кода — обход защиты и получение контроля. В первом варианте вредонос внедрялся в процесс инициализации WordPress, ожидая специальный параметр в URL. После активации он переименовывал директорию Wordfence, полностью отключая защиту. В более развитой версии появилась возможность изменять сразу два произвольных каталога одновременно, параметры передавались через веб-запрос. Такой подход сделал атаки гибкими: каждый случай можно настроить индивидуально, усложняя обнаружение по универсальным признакам.

Следующим шагом вредонос создавал или модифицировал учётные записи с правами администратора. Первая версия настойчиво добавляла нового пользователя «wp_admin_1» или повышала права уже существующего. Вторая версия перешла к динамическим параметрам, позволяя изменять имя, пароль и адрес почты, однако код оказывался менее устойчивым и иногда завершался неудачей, если данные совпадали с уже существующими. Несмотря на это, цель оставалась прежней — закрепиться в системе и сохранить полный доступ даже после очистки файлов.

Для маскировки своей активности атакующие внедряли CSS-правила и JavaScript-код, скрывавшие плагины из списка установленных и убирали отдельные элементы интерфейса Wordfence. Это позволяло администратору считать защиту активной, в то время как контроль над сайтом оставался у злоумышленников. Дополнительно были зафиксированы индикаторы компрометации: строка запроса «02jri7rt63uind9j837gew82djh», фиктивный администратор «wp_admin_1», а также несколько хеш-сумм файлов.

Эксперты подчёркивают, что главная причина подобных атак — использование нелегальных плагинов и тем . Пиратские копии изначально создаются с бэкдорами , которые активируются сразу после установки. Даже если вредонос скрыт и имитирует работу настоящего инструмента безопасности, он открывает двери для внедрения дополнительного кода — от кражи данных пользователей до установки скриптов для выкачивания платёжной информации в интернет-магазинах.

Рекомендация остаётся однозначной: никогда не использовать «nulled-версии» WordPress-плагинов или тем. Экономия на лицензиях превращается в многократно большие потери, ведь установка заражённых расширений делает администраторов невольными соучастниками атак на собственные сайты.