Бэкдор в WordPress

Неприятная новость для владельцев сайтов c системой управления WordPress, использующих бесплатный плагин с функционалом Captcha.

Как выяснилось несколько дней назад, в один из таких плагинов был внедрен вредоносный код, устанавливающий бэкдор от имени администратора системы (user ID 1). Загрузка кода происходила в обход официального репозитория WordPress.

Скандал разразился после того, как плагин Captcha free был удален из репозитория из-за нарушений владельцем авторских прав - он использовал торговую марку WordPess в названии плагина и своего сайта. Поскольку последняя версия имела свыше 300 тысяч установок, это послужило сигналом для его пристального изучения командой, специализирующейся на безопасности веб-приложений.

В результате выяснилось, что плагин создан известным разработчиком, но в августе его бесплатная версия была продана новому владельцу. Через три месяца был выпущен апдейт, который при активации, в обход репозитория загружал сторонний код для установки бэкдора в систему управления сайтом.

Новый владелец Captcha и ранее был замечен в подобного рода активности, с его сайта распространялись апдейты для других приобретенных плагинов WordPress. Бэкдоры он использовал для установки скрытых ссылок на свой спам сайт по быстрым кредитам и продвигал таким образом свой бизнес в поисковых системах.

WordPress является системой распространенной системой управления сайтом (CMS) в мире, но ее открытость имеет обратную сторону в виде скрытых угроз. Владельцам сайтов рекомендуется обращать пристальное внимание к популярным бесплатным плагинам и быть в курсе событий.

Сюда ещё никто не добрался. Первым будешь?

Создание и продвижение сайтов для бизнеса только кликни мы откликнемся
8-800-77-55-123 Меню
В порядке и на условиях, определённых Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных». Согласие на обработку следующих моих персональных данных: фамилии, имени, отчества, года, месяцы, даты и места рождения, пола, гражданства, места жительства, в том числе сведения о регистрации по месту жительства, месту пребывания, места работы, социального положения (статуса), реквизитов документа, удостоверяющего личность. Обработка моих персональных данных Оператором осуществляется исключительно в целях защиты моих прав на регистрацию доменного имени, услуги по созданию и продвижению сайтов, услуги по размещению рекламных компаний в интернет и обеспечения соблюдения законов и иных нормативных правовых актов, связанных с предоставлением этих услуг. Я предоставляю Оператору право осуществлять следующие действия с моими персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование, уничтожение персональных данных, передача персональных данных между: - Оператором ООО «КликОН», в котором мне будут осуществляться вышеперечисленные услуги ; - Оператором АНО «Региональный Сетевой Информационный Центр», осуществляющим непосредственную регистрацию доменных имён ; Мне гарантируется конфиденциальность моих персональных при обработке их и хранении не дольше срока, предусмотренного нормативными актами. Настоящие согласие данное мной и действует бессрочно. Я оставляю за собой право отозвать своё согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку уполномоченному представителю Оператора.