Pesquisadores da Wordfence descobriram um plugin malicioso para WordPress que se apresenta como uma ferramenta administrativa legítima, mas oferece controle total do site ao invasor. O plugin, chamado “WP-antymalwary-bot.php”, é instalado diretamente como um arquivo PHP e se oculta do painel de administração do WordPress.
Leia também
Novo agente vende endereços comprometidos
Gangue já comercializa RaaS como white label
Ao ser ativado, o plugin fornece recursos como execução remota de código, desvio de autenticação, injeção de JavaScript, reescrita de arquivos de tema e capacidade de autocorreção. Caso seja removido, ele se reinstala automaticamente por meio de um “wp-cron.php” comprometido, usado para agendar tarefas no WordPress.
Entre as funções mais críticas está o chamado “login de emergência”: com uma solicitação GET e uma senha pré-definida, o invasor obtém acesso à primeira conta de administrador disponível. Embora discreta, essa atividade deixa vestígios nos registros, o que possibilitou sua detecção.
A infecção se inicia no “wp-cron.php” e se espalha com inserções de código PHP no “header.php” de todos os temas ativos, limpeza de caches e comunicação com um servidor de controle no IP 45.61.136.85. O plugin também utiliza o agendador interno do WordPress para trocar dados periodicamente com o servidor e injeta arquivos JavaScript vindos de outros sites comprometidos, dificultando a detecção.
O código é bem estruturado e documentado, o que indica autoria profissional e até mesmo o uso de inteligência artificial em sua geração. Os arquivos maliciosos foram encontrados com nomes como “addons.php”, “wpconsole.php”, “scr.php” e “wp-performance-booster.php”. Os sinais de infecção incluem modificações no “wp-cron.php”, presença do parâmetro “emergency_login” nos logs e alterações nos arquivos de tema.
O caso serve de alerta para os riscos de instalar plugins sem verificação e reforça a importância de manter medidas de segurança eficazes no WordPress.
