近日，科技媒体报道了一种针对 WordPress 网站的新型恶意软件。该恶意软件伪装成安全工具插件，诱导用户下载安装后，赋予攻击者持续访问权限，允许执行远程代码和注入 JavaScript 脚本。它隐藏于插件仪表盘之外，难以被用户察觉。一旦激活，攻击者可通过明文密码获取管理员权限，控制网站后台。该恶意软件还会创建多个恶意插件，即使被删除也会自动重新生成。研究人员推测感染源于被盗的主机账户或 FTP 凭据。最新版本甚至能注入 base64 编码的 JavaScript，用于推送广告或重定向。

🛡️ 恶意软件伪装成安全工具插件，诱使用户下载并安装，从而获取网站的访问权限。

🔑 一旦安装，该恶意软件会通过“emergency_login_all_admins”功能为攻击者提供管理员权限，攻击者可以通过明文密码登录网站后台。

⚙️ 该恶意软件会创建多个恶意插件，如“addons.php”、“wpconsole.php”等，即使管理员删除，也会通过篡改的“wp-cron.php”文件自动重新生成并激活。

💻 恶意软件会通过自定义 REST API 路由插入任意 PHP 代码到网站的“header.php”文件中，清除插件缓存并执行其他命令。

📢 最新版本能够将 base64 编码的 JavaScript 注入到网站的“<head>”部分，用于向访客推送广告、垃圾信息或重定向到不安全网站。

IT之家 5 月 1 日消息，科技媒体 bleepingcomputer 昨日（4 月 30 日）发布博文，报道了一种针对 WordPress 网站的新型恶意软件，伪装成安全工具插件，诱导用户下载并安装。

Wordfence 研究团队警告称，该恶意软件能赋予攻击者持续的访问权限，允许他们执行远程代码并注入 JavaScript 脚本。更狡猾的是，它隐藏在插件仪表盘之外，让用户难以察觉其存在。

该恶意软件一旦激活，立即通过“emergency_login_all_admins”功能为攻击者提供管理员权限。攻击者只需输入明文密码，即可获取数据库中首个管理员账户的控制权，登录网站后台。

Wordfence 团队在 2025 年 1 月末的一次网站清理中首次发现该恶意软件。他们注意到“wp-cron.php”文件被篡改，用于创建并激活名为“WP-antymalwary-bot.php”的恶意插件。

IT之家援引博文介绍，此外该恶意软件还会创建“addons.php”、“wpconsole.php”、“wp-performance-booster.php”和“scr.php”等恶意插件。

即使管理员删除这些插件，“wp-cron.php”会在下一次网站访问时自动重新生成并激活它们。由于缺乏服务器日志，研究人员推测感染可能源于被盗的主机账户或 FTP 凭据。

该恶意插件不仅窃取管理员权限，还通过自定义 REST API 路由插入任意 PHP 代码到网站的“header.php”文件中，清除插件缓存，并执行其他命令。

最新版本甚至能将 base64 编码的 JavaScript 注入到网站的“<head>”部分，可能用于向访客推送广告、垃圾信息或将其重定向到不安全网站。