Новости

Поддельный плагин WordPress SEO обеспечивает бэкдор доступ

Мы недавно обсуждали особенно подлый кусок вредоносного ПО это маскировалось под фальшивый плагин и предназначалось для Joomla! пользователи. Пока это явление не уникально для Joomla! Система управления контентом, SiteLock обнаружила новый поддельный плагин для WordPress, одного из крупнейших в мире приложений с открытым исходным кодом.

Поддельный плагин, который нашла исследовательская группа SiteLock, называется WP-Base-SEO. Это подделка законного плагина поисковой оптимизации, WordPress SEO Tools. Вредоносный контент был найден в /wp-content/plugins/wp-base-seo/wp-seo-main.php. На первый взгляд, файл выглядит законным, включая ссылку на базу данных плагинов WordPress и документацию о том, как работает плагин.

На первый взгляд, файл выглядит законным, включая ссылку на базу данных плагинов WordPress и документацию о том, как работает плагин

Поддельный заголовок плагина

Однако при более внимательном рассмотрении файла выявляется его злонамеренное намерение в форме закодированного в PHP64 eval запроса PHP.

  • Eval - это функция PHP, которая выполняет произвольный код PHP. Обычно используется в злонамеренных целях и php.net рекомендует не использовать его.

Функция запроса Eval

В каталоге вредоносного плагина wp-base-seo было два файла: wp-seo.php, который включает require_once для второго файла, wp-seo-main.php. Wp-seo-main.php использует разные имена функций и переменных в зависимости от установки, например, wpseotools_on_activate_blog против base_wpseo_on_activate_blog и wp_base против base_wp_base.

Файл wp-seo-main.php использует встроенную функцию ловушки WordPress add_action, чтобы прикрепить запрос eval к ​​заголовку темы веб-сайта. Некоторые версии включают дополнительный хук after_setup_theme, который запускается после каждой загрузки страницы. Это означает, что каждый раз, когда тема загружается в браузер, запрос инициализируется.

От WordPress.org - Действия - это ловушки, которые ядро ​​WordPress запускает в определенных точках во время выполнения или при возникновении определенных событий. Плагины могут указывать, что одна или несколько его функций PHP выполняются в этих точках с использованием Action API.

WordPress хуки

Во время исследования поддельного плагина в Интернете было мало информации. Поиск в Интернете по имени плагина не выявил никакой информации, хотя вредоносным ПО было заражено несколько сайтов.

Скомпрометированные сайты

Результаты поиска показывают, что плагин может летать под радаром других сканеров вредоносных программ. Это подчеркивает критическую потребность в безопасности веб-приложений, включая сканер вредоносных программ, который может выявлять уязвимости и автоматически удалять вредоносные программы, такие как SiteLock SMART ,

Помимо сканирования и удаления вредоносных программ, обновление вашего ядра WordPress, а также всех тем и плагинов, связанных с вашим WordPress, до их последних версий является важной частью обеспечения безопасности вашего сайта. Также крайне важно использовать надежные пароли и надежные плагины. Если вы обнаружите подозрительный плагин в каталоге / wp-content / plugins, лучше всего удалить всю папку и переустановить чистую версию плагина либо на панели администратора WordPress, либо загрузив его прямо из WordPress.org ,

Чтобы узнать больше о том, как лучше защитить ваш сайт, позвоните в SiteLock по адресу 855.378.6200 в любое время 24/7!