近年来，网络安全领域的威胁不断演变，其中最引人关注的之一是针对 WordPress 网站的恶意软件攻击。最新的安全研究揭示了一种新的趋势：通过 mu-plugins 目录插入隐蔽后门，使攻击者能持续访问受影响的网站。mu-plugins 目录是 “must-use plugins” 的缩写，该目录中存放的插件会自动激活且无法通过普通的 WordPress 管理界面停用，因而成为持续性威胁的理想藏身之处。

最新的恶意软件通过一个名为 wp-index.php 的无害文件伪装，藏匿于 /wp-content/mu-plugins/ 目录中。这个恶意程序作为一个加载器，悄悄地从一个经过 ROT13 混淆的 URL 中获取远程负载，解码并执行任意的 PHP 代码。这一手段与2025年3月报道称的类似感染波相呼应，凸显了攻击者维持对已被攻陷网站长期访问的策略正在不断演变。

通过利用 WordPress 的核心功能以获取和执行负载，恶意软件确保其静默运行，避开常规的文件系统扫描，与合法网站操作完美融合。根据 Sucuri 报告，ROT13 混淆技术并无实际的加密目的，仅是一种简单的 凯撒密码（Caesar cipher）将字母移动13位，有效地遮掩了恶意 URL 在初始感染阶段的可见性。例如，编码字符串 uggcf://1870l4ee4l3q1x757673d.klm/peba.cuc 解码后为 hxxps://1870y4rr4y3d1k757673q[.]xyz/cron.php，由此下载的负载是经过 base64 编码的。

下载的负载随后存储在 WordPress 数据库中，使用选项键 _hdra_core，这种非文件系统的持久机制使得安全工具难以检测到该恶意软件。该脚本会在将解码的内容临时写入类似 .sess-[hash].php 的文件后立即执行，并迅速删除该文件，以尽量减少取证痕迹。同时，恶意软件还创建了一个隐藏的管理员账户，命名为 officialwp，并将一个文件管理器注入到主题目录，命名为 pricing-table-3.php，通过自定义的 HTTP 头令牌进行操作，如文件浏览、上传和删除。

深入分析托管在解码后的 cron.php 端点的负载，分析师发现了一个全面的后门框架，功能不仅仅限于持久存在。恶意软件会从另一个经过 ROT13 混淆的 URL 解码并强制激活一个二级插件 wp-bot-protect.php，其解码为 hxxps://1870y4rr4y3d1k757673q[.]xyz/shp，即使删除主要组件也能使感染得以恢复。

一个特别阴险的功能是程序化重置常见管理员用户名（包括 admin、root、wpsupport，甚至是它自己的 officialwp）的密码，设置为攻击者控制的默认值，这样有效地将合法用户锁定在外，从而确保重新进入。此动态命令执行能力允许远程 PHP 代码注入，使攻击者能够动态调整恶意软件的行为，比如嵌入额外的后门或抑制安全插件的运作。此次感染的广泛影响深远，赋予了攻击者对网站内容的无限管理员权限，可以操控网站内容、窃取敏感用户数据，或将网站用于网络钓鱼、勒索软件分发或针对第三方的分布式拒绝服务（DDoS）攻击。

其多层次的规避技术，包括数据库存储、临时文件处理和通过插件自我强化，使其对标准的修复措施极为抗拒。网站管理员被敦促检查像 wp-index.php 文件、_hdra_core 数据库条目以及异常的管理员用户等指标，同时实施严格的文件完整性监控和定期的数据库审计，以减轻这样的威胁。这一事件凸显了在不够知名的 WordPress 目录中提升警觉性的至关重要性，黑客们正在继续利用这种架构细微差异进行持续、隐蔽的操作。

随着 WordPress 作为最受欢迎的网站构建平台之一，其安全问题的严重性不容置疑。为了保障他们的数字资产，用户应定期更新插件、使用强密码并启用双重验证等安全措施。此外，加强对网站的定期安全审计和监控可以大大提升抵御恶意攻击的能力。在这一信息技术迅速发展的时代，保持对新兴威胁的警惕与了解已成为每一位 WordPress 网站管理员的必修课。

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！