Redazione 
Una nuova minaccia sta colpendo numerosi siti WordPress: i mu-plugins, noti come “Must-Use Plugins”, vengono sfruttati dagli hacker per iniettare spam, malware e codice di reindirizzamento verso siti malevoli. La scoperta arriva dai ricercatori di Sucuri, che segnalano un aumento degli attacchi mirati proprio a questa sezione poco visibile dell’infrastruttura WordPress.
Cos’è la directory mu-plugins e perché è pericolosa
La cartella mu-plugins (presente in wp-content/mu-plugins) contiene plugin che vengono caricati automaticamente da WordPress, senza necessità di attivazione tramite dashboard. Questa caratteristica li rende ideali per attacchi furtivi, poiché:
- Non compaiono nella lista dei plugin attivi
- Non possono essere facilmente disattivati da utenti poco esperti
- Vengono eseguiti all’avvio, garantendo persistenza
Codice malevolo scoperto: tre file sotto osservazione
Sucuri ha individuato tre file PHP sospetti in siti compromessi, ognuno con una funzionalità diversa ma pericolosa:
- redirect.php
Reindirizza i visitatori a siti esterni pericolosi, camuffandosi da aggiornamento del browser. Include codice in grado di distinguere tra bot e utenti reali, eludendo i controlli dei motori di ricerca. - index.php
Funziona come una web shell, permettendo l’esecuzione di script PHP remoti, inclusi file malevoli ospitati su GitHub. - custom-js-loader.php
Inietta spam e contenuti espliciti nel sito, sostituendo le immagini originali e manipolando i link in uscita per scopi SEO fraudolenti o truffaldini.
Nuove minacce in circolazione: click fraud, PowerShell e furto dati
Oltre all’iniezione di codice tramite mu-plugins, gli hacker stanno anche sfruttando siti WordPress violati per ingannare gli utenti tramite finte schermate CAPTCHA, in un attacco noto come ClickFix. In alcuni casi, cliccare porta all’esecuzione di comandi PowerShell su sistemi Windows o alla distribuzione del malware Lumma Stealer, progettato per rubare dati sensibili e finanziari.
In parallelo, alcuni script JavaScript inseriti nei siti infetti sono in grado di:
- Reindirizzare verso domini truffa
- Funzionare come skimmer per intercettare dati immessi nei form di pagamento
Le vulnerabilità sfruttate: 4 exploit critici già noti
Secondo un report di Patchstack, i cybercriminali hanno già sfruttato nel 2024 quattro vulnerabilità gravi in plugin e temi WordPress, tutte con punteggi CVSS estremamente elevati:
- CVE-2024-27956 (CVSS 9.9) – SQL Injection nel plugin “AI Content Generator”
- CVE-2024-25600 (CVSS 10.0) – RCE non autenticata nel tema Bricks
- CVE-2024-8353 (CVSS 10.0) – Object Injection nel plugin GiveWP
- CVE-2024-4345 (CVSS 10.0) – Arbitrary file upload in Startklar Elementor Addons
Come proteggere il tuo sito WordPress da questi attacchi
Per ridurre il rischio di compromissione, i proprietari di siti devono adottare misure preventive efficaci, tra cui:
- Aggiornare regolarmente plugin, temi e core di WordPress
- Eseguire scansioni frequenti del file system per rilevare codice sospetto
- Utilizzare password complesse e autenticazione a due fattori
- Monitorare la cartella mu-plugins, anche se nascosta dalla dashboard
- Installare un Web Application Firewall (WAF) per filtrare richieste dannose e bloccare iniezioni di codice
