Аналітики Sucuri виявили, що хакери використовують директорію MU-plugins (Must-Use Plugins) у WordPress, щоб приховувати шкідливий код і запускати його, уникаючи виявлення.

Уперше цю техніку було помічено в лютому 2025 року, але темпи її впровадження зростають, і наразі зловмисники зловживають MU-plugins для запуску трьох різних типів шкідливого коду.

Must-Use Plugins – це особливий тип плагінів для WordPress, які запускаються під час кожного завантаження сторінки і не потребують активації в панелі адміністрування. Вони являють собою PHP-файли, що зберігаються в директорії wp-content/mu-plugins/, які автоматично виконуються під час завантаження сторінки та не відображаються в адмінці на сторінці «Плагіни», якщо не обрано фільтр «Must-Use».
Поки що дослідникам Sucuri не вдалося встановити точний спосіб зараження постраждалих сайтів. Передбачається, що зловмисники експлуатують уже відомі вразливості в плагінах і темах для WordPress або слабкі облікові дані адміністраторів.