• 欢迎访问小朱博客,博主主要从事阿里巴巴国际站运营,WordPress建站,电子商务。如果你也是从事阿里巴巴国际站运营工作,欢迎加入阿里巴巴国际站SEO QQ群
  • 本站所有内容都是我在工作中所遇到的问题,通过搜索引擎查到资料,有自己原创经验分享,有收集来的,记录并分享,方便自己以后查阅。
  • 主要:建站资料,网络推广,服务器,软件分享,办公软件操作,阿里巴巴国际站,国外社交平台,各类工具等等。
  • 好记性不如烂笔头。
  • 如果您觉得本站非常有看点,那么赶紧使用 Ctrl+D 收藏 小朱博客 吧!

WordPress插件Captcha出现后门

生活杂文 小朱博客 1年前 (2017-12-28) 177次浏览 0个评论

WordPress 中有一款下载量高达 30 万次的插件 Captcha 出现隐藏后门。目前 WordPress 团队已经将 Captcha 下架,并未受感染的用户提供了安全版本。

Captcha 是 WordPress 官网中的一款流行插件,九月份正式在 WordPress 中公开下载。到 12 月份,有人将 Captcha 更新到 4.3.7 版本,并加入了恶意代码,可以连接到 simplywordpress.net 域名并从 WordPress 站点之外下载插件更新包。安装 4.3.7 版本 Captcha 插件的网站会感染后门。该后门可以利用用户 ID (第一次安装时会创建的默认 admin 用户)创建会话,设置认证 cookie,随后删除痕迹。后门安装代码并没有经过认证,所以任何人都可能触发。
WordPress插件Captcha出现后门
这个后门发现的方式也很偶然。最初是因为 Captcha 最新版本(含有恶意代码的版本)作者将“WordPress”水印和插件 branding 据为己有,随意使用,被WordPress 发现后将 Captcha 下架。此举引起了为 WordPress 提供 WAF 服务的安全厂商 Wordfence 的注意,进过检查之后发现了插件中的后门。


欢迎浏览小朱博客 , 由小朱发表的:WordPress插件Captcha出现后门
转载请注明原文链接:https://www.zhudc.com/essay/672
喜欢 (0)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址