Антивирус для WordPress оказался троянцем: устанавливается без ведома, шпионит за пользователем и открывает доступ вредоносному ПО.

Антивирусный плагин для WordPress оказался троянцем: он маскировался под легитимный инструмент, но на деле давал злоумышленнику полный контроль над сайтом. Вредонос, обнаруженный командой Wordfence, скрывался в PHP-файле с именем «WP-antymalwary-bot.php» и не отображался в админке. Среди его функций — удалённое выполнение кода, обход авторизации, внедрение JavaScript, перезапись файлов тем и самовосстановление через заражённый «wp-cron.php».

Особую тревогу вызывала функция «экстренного входа»: по GET-запросу с паролем хакер мог получить доступ к первой найденной админ-учётке. Плагин также встраивал вредоносный код в «header.php» тем, очищал кеши и поддерживал связь с C2-сервером, что позволяло управлять заражёнными сайтами в реальном времени.

В новой версии появились дополнительные возможности: использование встроенного планировщика задач и загрузка вредоносных JavaScript с других взломанных сайтов. Код был написан аккуратно, что указывало на высокий уровень исполнения — возможно, даже с применением ИИ.

Плагин мог маскироваться под разные имена — от «addons.php» до «wp-performance-booster.php». Его выдавали изменения в «wp-cron.php», параметр «emergency_login» в логах и повреждённые файлы тем. Этот случай — напоминание о рисках установки непроверенных плагинов, какими бы безобидными они ни казались.