Pesquisadores da Sucuri identificaram uma nova técnica usada por hackers para ocultar código malicioso em sites WordPress, explorando o diretório de mu-plugins (Must-Use Plugins). Essa estrutura especial permite a execução automática de arquivos PHP em todas as páginas do site, sem que os plugins precisem ser ativados manualmente ou listados na área administrativa tradicional do WordPress — tornando a detecção muito mais difícil. A técnica foi observada pela primeira vez em fevereiro de 2025, mas desde então tem ganhado popularidade entre cibercriminosos, especialmente em operações com motivação financeira.

A Sucuri encontrou três tipos de código malicioso diferentes escondidos nesse diretório: um redireciona usuários para sites fraudulentos com atualizações falsas de navegador; outro atua como backdoor via webshell, permitindo que comandos remotos sejam executados a partir de um repositório no GitHub; e um terceiro substitui todas as imagens do site por conteúdo explícito e sequestra links externos, levando os visitantes a pop-ups maliciosos. O uso de mu-plugins como vetor de ataque representa uma ameaça séria, já que esse tipo de plugin é projetado para uso legítimo em funções globais, como ajustes de desempenho ou regras de segurança personalizadas.

No entanto, por serem executados automaticamente em todas as páginas e não aparecerem na lista padrão de plugins, tornam-se ideais para esconder atividades maliciosas como roubo de dados, redirecionamentos e manipulação de HTML. A recomendação é que administradores de sites WordPress mantenham seus plugins e temas sempre atualizados, removam extensões desnecessárias, e reforcem a segurança de contas privilegiadas com senhas fortes e autenticação em dois fatores.