近期，科技領域迎來了一則關于WordPress網站安全的重大警示。據bleepingcomputer在4月30日的報道，一種新型惡意軟件正悄無聲息地威脅著眾多WordPress站點的安全。

這款惡意軟件偽裝得極為巧妙，它化身為安全工具插件，誘騙不明真相的用戶下載并安裝。Wordfence研究團隊對此發出了緊急警告，指出該惡意軟件一旦得手，便能賦予攻擊者持久的訪問權限，使他們能夠遠程執行代碼并注入Java腳本。

更令人防不勝防的是，這款惡意軟件巧妙地隱藏于插件儀表盤之外，使得用戶極難察覺其存在。一旦激活，它便立即利用“emergency_login_all_admins”功能，為攻擊者提供管理員權限的便捷通道。攻擊者只需輸入一個簡單的明文密碼，就能輕松掌控數據庫中首個管理員賬戶，進而登錄網站后臺。

Wordfence團隊在追溯該惡意軟件的起源時，發現其在2025年1月末的一次網站清理行動中首次現身。當時，他們注意到“wp-cron.php”文件被不明勢力篡改，用于創建并激活一個名為“WP-antymalwary-bot.php”的惡意插件。該惡意軟件還狡猾地創建了多個其他惡意插件，如“addons.php”、“wpconsole.php”、“wp-performance-booster.php”和“scr.php”等。

即便管理員及時發現并刪除了這些惡意插件，它們仍能在下一次網站訪問時通過“wp-cron.php”文件自動重新生成并激活。由于服務器日志的缺失，研究人員只能推測，這次感染事件可能源于被盜的主機賬戶或FTP憑據。

這款惡意插件的威脅遠不止于此。它不僅會竊取管理員權限，還會通過自定義REST API路由，將任意PHP代碼插入到網站的“header.php”文件中。這樣一來，攻擊者就能清除插件緩存，并執行其他各種惡意命令，對網站的安全構成極大威脅。