WordPress 结账页出现高隐匿性恶意插件：伪装成 Cloudflare 窃取用户信息

2025 年 5 月 16 日，Wordfence 威胁情报团队披露一起极为复杂的 WordPress 网站攻击事件：攻击者通过伪装插件潜伏于结账页面，模拟 Cloudflare 验证界面，窃取用户信用卡信息、登录凭证，甚至实时跟踪用户操作。

活跃已久，持续升级

该恶意插件至少自 2023 年 9 月起已在全球范围传播，具备代码混淆、反调试、环境感知等多重对抗手段。其典型特征包括：

• 仅在结账页面生效，避开管理员后台以躲避检测；

• 注入仿冒 Cloudflare 的“人机验证”全屏页面，支持多语言、深色模式、RTL 排版、动画等细节，迷惑用户并阻拦自动分析工具；

• 利用 WooCommerce 标记恶意订单为“已完成”，拖延网站主发现时间。

多版本并行，功能各异

研究人员还发现该家族的多个变种，分别用于：

• 篡改 Google Ads，诱导移动端展示虚假广告；

• 窃取 WordPress 登录凭证；

• 将网站正常链接篡改为恶意跳转链接；

• 利用 Telegram 实时回传数据并监控用户行为。

所有变种共享同一框架，根据用途灵活加载模块，显示出高度工程化的攻击流程。

仿冒“WordPress Core”插件为攻击核心

攻击的关键在于一个名为 “WordPress Core” 的伪造插件，内嵌 JavaScript 和 PHP 后门组件，借助 WooCommerce 集成功能非法操作订单并存储窃取数据。

恶意数据会被保存在 WordPress 后台的自定义“messages”区域，攻击者甚至可以在被控网站上直接管理所窃数据，极难察觉。

相关威胁指标与防护建议

攻击者使用的相关恶意域名包括：

• api-service-188910982.website

• graphiccloudcontent.com

Wordfence 于 5 月 17 日至 6 月 15 日间已向其高级用户推送检测规则，免费版将延迟 30 天更新。

建议 WordPress 管理员：

• 检查插件列表，清理来源不明插件；

• 监测 WooCommerce 异常订单行为；

• 检查网站是否请求上述域名；

• 使用安全插件增强防护（如 Wordfence、Sucuri）；

• 定期备份并做好应急预案。