Especialistas da Sucuri identificaram uma campanha em que invasores utilizam arquivos maliciosos disfarçados de plugins legítimos para garantir acesso persistente a sites WordPress comprometidos. Durante a análise de um ambiente violado, foram encontrados dois backdoors ativos que operavam de forma silenciosa e eficaz. O primeiro arquivo estava localizado na pasta de plugins e se apresentava como “DebugMaster Pro”, nome que pode passar despercebido por administradores.
Apesar da aparência legítima, o código do arquivo criava uma conta de administrador oculta, mascarava sua presença e se conectava a um servidor remoto para enviar dados como nome de usuário, senha e IP da vítima. A comunicação era feita por meio de payloads codificados, dificultando a detecção por ferramentas automatizadas. Além disso, o código malicioso injetava scripts em páginas públicas do site, com exceção de acessos administrativos, o que permitia redirecionamentos, coleta de dados ou injeção de anúncios sem alertar os responsáveis pelo site. O segundo backdoor, nomeado “wp-user.php”, ficava fora da pasta de plugins e tinha como função garantir a recriação da conta de administrador oculta, caso ela fosse removida. A persistência é garantida pela execução recorrente desse segundo arquivo, o que torna a simples exclusão do plugin insuficiente para eliminar o comprometimento.
Com isso, mesmo após uma tentativa de limpeza superficial, o acesso privilegiado ao painel administrativo continua disponível para os atacantes. A técnica representa um risco considerável, especialmente em sites WordPress com práticas de segurança frágeis. A recomendação é revisar regularmente os arquivos do servidor, validar a legitimidade de todos os plugins instalados e monitorar a criação de usuários administrativos. Também é fundamental alterar todas as credenciais após uma invasão, incluindo as de banco de dados, FTP e painel de hospedagem.
