Smart Slider 更新被劫持,推送恶意的 WordPress、Joomla 版本
发布: (2026年4月10日 GMT+8 00:15)
5 分钟阅读
Source: Bleeping Computer
事件概述
黑客劫持了 Smart Slider 3 Pro 插件(适用于 WordPress 和 Joomla)的更新系统,推送了带有多个后门的恶意版本。
开发者表示,仅 3.5.1.35 专业版受到影响,建议立即切换到最新版本(当前为 3.5.1.36)或 3.5.1.34 及更早版本。
恶意更新行为
- 在多个位置安装后门。
- 创建一个拥有管理员权限的隐藏用户。
- 窃取敏感数据。
Smart Slider 3 for WordPress 被 90 万多个网站用于通过实时滑块编辑器创建响应式滑块,提供大量布局和设计选项。
据供应商称,威胁行为者在 4 月 7 日 分发了恶意更新,部分网站可能已经安装。
PatchStack 的分析指出,恶意软件是一个功能完整的多层工具包,嵌入插件的主文件中,同时保持 Smart Slider 的正常功能。主要特点包括:
- 通过构造的 HTTP 头部实现远程命令执行(无需身份验证)。
- 第二个经过身份验证的后门,使用 PHP
eval和操作系统命令执行,并自动窃取凭据。 - 通过多层方式保持持久性:
- 创建隐藏的管理员账户并将凭据存储在数据库中。
- 创建
mu-plugins目录,放置伪装成合法缓存组件的必用插件。 - 向活动主题的
functions.php注入后门。 - 在
wp‑includes中放置一个 PHP 文件,模拟核心 WordPress 类,并从.cache_key文件读取认证密钥,使其在数据库凭据更改后仍能存活。
创建隐藏管理员账户 – 来源:PatchStack
供应商还对 Joomla 安装发出警告,称 3.5.1.35 版本中的恶意代码可能创建隐藏的管理员账户(通常前缀为 wpsvc_),在 /cache 和 /media 目录中安装额外后门,并窃取站点信息和凭据。
Smart Slider Joomla 安全通告(3.5.1.35 受损)
推荐操作
- 恶意更新已于 4 月 7 日 分发。Smart Slider 团队建议使用 4 月 5 日 作为最安全的备份恢复日期,以考虑时区差异。
- 如果没有可用的干净备份,请 删除受损插件 并安装干净版本(3.5.1.36)。
立即修复步骤
- 删除恶意用户、文件和数据库条目。
- 从可信来源重新安装 WordPress 核心、插件和主题。
- 更换所有凭证(WordPress、数据库、FTP/SSH、主机、电子邮件)。
- 重新生成 WordPress 安全密钥(盐)。
- 扫描剩余的恶意软件并审查日志。
供应商提供了针对 WordPress 和 Joomla 的多步骤手动清理指南,首先将站点置于维护模式并进行备份。随后,管理员应:
- 删除未授权的管理员用户。
- 删除所有恶意组件。
- 安装全新的核心文件、插件和主题。
- 重置所有密码。
- 进行彻底的恶意软件扫描。
加固建议
- 启用双因素认证(2FA)。
- 将所有组件保持更新至最新版本。
- 将管理员访问限制在可信 IP 或用户范围内。
- 为每个账户使用强大且唯一的密码。
自动化渗透测试仅覆盖 6 个面中的 1 个
自动化渗透测试证明路径存在。BAS 证明你的控制是否能阻止它。大多数团队只运行其中一种而不使用另一种。此白皮书映射了六个验证面,展示了覆盖的终点,并为从业者提供了三个用于任何工具评估的诊断问题。