Recentemente, foi identificado um novo tipo de ataque que explora vulnerabilidades no diretório mu-plugins do WordPress, um local usado para carregar plugins de forma automática. O objetivo principal deste malware é instalar backdoors nos servidores afetados, permitindo o controlo remoto sem ser detetado.

O processo inicia-se com a inserção de um arquivo PHP disfarçado no diretório /wp-content/mu-plugins/, que, ao ser executado, descarrega outras ameaças de diferentes fontes. Esse código malicioso gera a instalação de um segundo backdoor, criptografado para evitar a deteção de sistemas de segurança e para garantir o controlo contínuo do servidor invadido.

Uma vez no sistema, os atacantes têm a capacidade de manipular arquivos vitais, como o robots.txt, e esconder as suas atividades, dificultando a remoção do malware. Além disso, o ataque pode espalhar-se para outros servidores, realizando ações como a instalação de ransomware ou a extração de dados confidenciais.

Para prevenir este tipo de ameaça, é essencial adotar medidas de segurança rigorosas, como a utilização de firewalls específicos para aplicações web e a monitorização constante de diretórios como o mu-plugins. Também é fundamental garantir que as credenciais de administrador sejam frequentemente alteradas e que diretórios desnecessários sejam desativados. Além disso, a atualização regular do sistema WordPress é crucial, já que muitas dessas invasões aproveitam falhas em versões desatualizadas.