هجوم جديد على مواقع ووردبريس: إضافة مزيفة بتتقدم على إنها أداة حماية
فريق Wordfence اكتشف نوع جديد من البرمجيات الخبيثة بيستهدف مواقع ووردبريس، وبيظهر في شكل إضافة (Plugin) شكلها طبيعي، لكن وظيفتها الأساسية هي إنها تدي سيطرة كاملة للمهاجم على الموقع.
الإضافة اسمها WP-antymalwary-bot.php، وبتبان في ملفات الموقع كأنها أداة حماية، لكن في الحقيقة بتخبي أوامر بتخلي الهاكر يقدر يفضل متحكم في الموقع حتى بعد حذف الإضافة.
إزاي شغال الهجوم؟
الإضافة بتشتغل في الخلفية وبتعمل حاجات خطيرة زي:
- تخلي المهاجم موجود طول الوقت على السيرفر
- تخفي نفسها من لوحة تحكم ووردبريس
- تنفذ أوامر عن بُعد
- تنقل البرمجية لملفات تانية وتضيف أكواد ضارة بتظهر إعلانات
الهجوم بدأ إزاي؟
تم اكتشاف البرمجية دي لأول مرة في يناير 2025 خلال تنظيف موقع مصاب، لما لقوا نسخة متعدلة من ملف wp-cron.php. الملف ده بيستخدمه ووردبريس في المهام التلقائية، لكن في الحالة دي، كان بيتحكم في إنشاء الإضافة الخبيثة وتشغيلها أوتوماتيك.
أسماء تانية للبرمجية
الملف الخبيث كان بيتسمى كمان بأسماء زي:
- addons.php
- wpconsole.php
- wp-performance-booster.php
- scr.php
تم الاختراق إزاي؟
مافيش لوجات أو سجلات واضحة تبين الطريقة اللي المهاجمين دخلوا بيها، لكن الاحتمالات الأقرب هي:
- بيانات استضافة تم اختراقها
- سرقة بيانات دخول FTP
السيرفر اللي المهاجمين بيستخدموه للتحكم عن بُعد (C2) موجود في قبرص، والهجوم ده اتكرر قبل كده في يونيو 2024.
دور الذكاء الاصطناعي في الهجوم
الملفت إن البرمجية مكتوبة بكود شكله نظيف واحترافي، والسبب حسب الباحثين هو استخدام الذكاء الاصطناعي في كتابة الكود. ده خلى شكل الإضافة طبيعي، ومفيش حاجة بتكشف إنها ضارة بسهولة.
تحمي موقعك إزاي؟
- افحص ملفات الموقع باستمرار وخصوصًا wp-cron.php
- استخدم إضافة حماية قوية زي Wordfence
- غير بيانات دخول الاستضافة وFTP كل فترة
- فعل التحقق بخطوتين لحساب الأدمن
- خلي الموقع والتحديثات دايمًا على آخر إصدار
الهجمات دي بتوضح إن الهاكرز بقوا يستخدموا أدوات ذكية لتجاوز الحماية، وده بيزود أهمية إنك تتابع موقعك باستمرار وتحميه بإعدادات وتأمينات أقوى.
