Os técnicos da empresa de segurança do site Sucuri não só destacaram o aumento de plugins maliciosos para WordPress, mas, além de plugins maliciosos dedicados a comprometer os servidores dos sites onde eles estão instalados, há também plugins maliciosos dedicados à execução de código binário Linux para mineração de criptomoedas.
Estes plugins maliciosos usam nomes de plugins oficiais, sendo basicamente clones aos quais foram adicionadas funções maliciosas, o que pode levar ao erro por parte de quem gere sites WordPress.
Para fazer isso, os hackers não precisam criar plugins maliciosos completamente do zero, pois reutilizam o código fonte dos plugins verdadeiros para criar clones, adicionando funções de malware.
Além disso, existem informações e ferramentas na web para os hackers criarem os seus próprios plugins maliciosos, sendo esse exemplo, o plugin "wpframework" encontrado em vários dos sites hackeados, onde à primeira vista é inofensivo, mas após análise ao código fonte o mesmo possui uma função que executa um código Linux para a mineração de criptomoedas.
Este clone foi gravado pela primeira vez em Setembro de 2019, sendo que o plugin oficial é anterior a 2011.
Neste sentido, importa referir que temos que ter muito cuidado com os plugins já instalados, bem como os themes, pois os mesmos podem conter o mesmo tipo de funções maliciosas no seu código fonte.