WordPress 中有一款下载量高达 30 万次的插件 Captcha 出现隐藏后门。目前 WordPress 团队已经将 Captcha 下架,并未受感染的用户提供了安全版本。

Captcha 是 WordPress 官网中的一款流行插件,九月份正式在 WordPress 中公开下载。到 12 月份,有人将 Captcha 更新到 4.3.7 版本,并加入了恶意代码,可以连接到 simplywordpress.net 域名并从 WordPress 站点之外下载插件更新包。安装 4.3.7 版本 Captcha 插件的网站会感染后门。该后门可以利用用户 ID (第一次安装时会创建的默认 admin 用户)创建会话,设置认证 cookie,随后删除痕迹。后门安装代码并没有经过认证,所以任何人都可能触发。

这个后门发现的方式也很偶然。最初是因为 Captcha 最新版本(含有恶意代码的版本)作者将“WordPress”水印和插件 branding 据为己有,随意使用,被WordPress 发现后将 Captcha 下架。此举引起了为 WordPress 提供 WAF 服务的安全厂商 Wordfence 的注意,进过检查之后发现了插件中的后门。

发表我的评论

请输入你的评论!
请在这里输入你的名字

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据