Владельцы сайтов на WordPress столкнулись с новой волной хакерских атак, превращающих корпоративные страницы в площадки для онлайн-казино. Эксперты зафиксировали более 10 000 случаев заражения, связанных с уязвимостями в популярных темах и плагинах.

Злоумышленники используют вредоносные скрипты Malware Redirects для перенаправления посетителей на сторонние ресурсы. Основной целью таких атак является накрутка iGaming-трафика и повышение SEO-рейтингов сайтов злоумышленников. По данным специалистов c/side, модификация страниц позволяет обманом заставлять пользователей скачивать зараженные файлы.

Внедрение кода происходит через критические уязвимости. Эксперты «Лаборатории Касперского» отмечают эксплуатацию бреши CVE-2025-5394 в теме Alone (до версии 7.8.3), что позволяет организовать удалённое выполнение произвольного кода (RCE). Также зафиксированы заражения через плагин Gravity Forms версий 2.9.11.1 и 2.9.12. Хакеры маскируют вредоносные ссылки в футере или скрытых блоках с минимальным размером шрифта, а также внедряют PHP-бэкдоры для сохранения доступа.

• Смена паролей всех администраторов, аккаунтов хостинга, SSH, FTP и баз данных на сложные сгенерированные значения.
• Полное сканирование системы на наличие зараженных файлов с помощью плагинов Wordfence, Sucuri или системы Imunify360.
• Ручная проверка конфигурационных файлов.htaccess и wp-config.php на предмет посторонних инструкций.
• Очистка базы данных, в частности таблицы wp_posts, от сторонних скриптов, которые могут загружаться вместе с контентом страниц.
• Переустановка чистых версий ядра WordPress путём замены папок /wp-admin/ и /wp-includes/, а также полная переустановка тем и плагинов из официальных источников.

Размещение нескольких ресурсов на одном аккаунте хостинга повышает риск перекрестного заражения. По данным Coma Web Development, вредоносный код способен перемещаться между сайтами в пределах одного хоста. Для предотвращения этого необходимо изолировать поддомены и дополнительные сайты друг от друга.

Техническая защита включает отключение выполнения PHP-скриптов в директориях /uploads/ и /cache/, которые часто используются для загрузки веб-шеллов. Эксперты рекомендуют использовать выделенные серверы с панелями управления вроде cPanel вместо общего (shared) хостинга. Это позволяет создать дополнительный барьер и снизить вероятность успешных DDoS-атак и несанкционированного доступа.

• Регулярное обновление ядра WordPress и всех установленных компонентов до актуальных версий.
• Внедрение двухфакторной аутентификации (2FA) для всех пользователей с правами доступа.
• Использование сетевых экранов (WAF), таких как Cloudflare или специализированные плагины, для блокировки вредоносных запросов.
• Минимизация количества установленных плагинов и тем для сокращения поверхности атаки.
• Постоянный мониторинг списка администраторов для обнаружения неизвестных учётных записей и отслеживание аномалий в работе существующих паролей.

По данным компании Wordfence, только по одной из критических уязвимостей было зафиксировано более 120 000 попыток эксплуатации уже к 12 июня.