הדלת האחורית שוורדפרס שכחה לנעול: mu-plugins 🔒
בזמן שכולם מסתכלים על רשימת התוספים ב־WordPress, תוקפים זוחלים דרך כניסה צדדית: פונקציית Must Use Plugins (או בקיצור mu-plugins), פיצ'ר שהתווסף רשמית ב־2022 ומתחיל לצבור פופולריות בעולם התחתון.
התוספים שנמצאים בתיקייה wp-content/mu-plugins נטענים אוטומטית, בלי צורך באישור, בלי כפתור "הפעל", ובלי שמישהו יראה אותם בפאנל הניהול. מושלם בשביל תוקפים, פחות עבור מי שמתחזק את האתר.
לפי GoDaddy Sucuri, מאז פברואר השנה נצפתה עליה חדה בשימוש בתיקייה הזו לפריסת:Backdoors, Webshells, SEO Spam, fake browser updates (redirect.php)…
⚠️ רוב פתרונות האבטחה לוורדפרס לא סורקים בכלל את התיקייה הזו כברירת מחדל.
המלצה: אם אתם לא משתמשים ב־mu-plugins באופן יזום – תבדקו מה קיים שם, תמחקו מה שלא שייך, ואל תשכחו לגבות קודם. לא כל תוסף שאינו נראה – באמת לא פעיל. 🤫