Специалисты из SiteLock выявили вредоносный плагин WordPress WP-Base-SEO, который замаскирован под настоящую утилиту для поисковой оптимизации WordPress SEO Tools.
Внешне файл кажется безвредным. В нем содержится ссылка на базу данных плагинов WordPress и техническая документация. Но при детальном анализе исследователи нашли запрос eval, который был зашифрован с применением base64.
PHP-функция Eval, выполняющая произвольный код, является очень популярной в киберпреступной среде. Частое применение Eval хакерами привело к тому, что специалисты php.net призвали к полному отказу от использования данной функции.
В директории плагина содержатся два файла: wp-sep.php, в зависимости от установки пользующийся различными функциями и именами, и wp-seo-main.php, применяющий оригинальные функции WordPress для того, чтобы присоединить запрос eval к «шапке» сайта. С помощью последнего хакеры могут заполучить доступ к ресурсу. По словам экспертов, инициализация запроса осуществляется каждый раз, когда тема загружается в браузере.