#CAPTCHA #PLUGIN在300K #WORDPRESS网站上造成严重风险

专家发现,最近更新了超过300,000个站点安装的流行WordPress CAPTCHA插件,以提供隐藏的后门。

Wordfence.的安全专家发现,最近更新了超过300,000个站点安装的流行WordPress CAPTCHA插件,以提供隐藏的后门。 WordPress团队从官方WordPress插件存储库中删除了插件,并为受影响客户提供了消毒版本。

WordPress还阻止了插件的作者从发布更新中没有审查其开发团队,Wordfence现在包括阻止CAPTCHA和来自同一作者的其他五个插件的防火墙规则。

Wordfence.与WordPress插件团队合作到Patch-4.4.5版本的插件。

当插件改变的手时,歌手团队在9月份注意到了一些奇怪的东西。只需三个月后,新团队分发了回顾的版本CAPTCHA 4.3.7。

专家发现一个代码触发从下载zip文件的自动更新过程:

https:// simply wordpress []网/CAPTCHA./ captcha_pro_update.php.

然后提取并安装自身修改在WordPress站点上运行的CAPTCHA插件的安装。

“每当WordPress存储库中删除具有大用户库的插件时,我们会检查是否可能是由于与安全相关的东西。 Wordfence. 警告用户在运行的任何插件中都从WordPress中删除 回购 也是。在删除时,CAPTCHA有超过300,000个主动安装,因此其删除显着影响了许多用户。” states the 分析 由WordPress发布。

“后门文件允许攻击者或在这种情况下,插件作者,以获取对您网站的未经授权的管理访问权限。此后台创建与用户ID 1的会话(WordPress在第一次安装时创建WordPress的默认管理员用户),设置身份验证cookie,然后删除本身。”

1 < $wptuts_plugin_remote_path = ‘//simplywordpress.net/captcha/captcha_pro_update.php’;

2 —

3 > $wptuts_plugin_remote_path = ‘//simplywordpress.net/captcha/captcha_free_update.php’;

Wordfence.调查了插件的新所有权,注意到用于传送包含后门的ZIP文件的域名istillypress [。]网注册到名为Stacy Wellington的人使用电子邮件地址[email protected]

很容易发现,使用相同的电子邮件地址用于注册大量其他域和其中一个引用的域名 马丁苏精.

9月,周围 在更新以包括恶意代码后,使用显示窗口小部件插件的200,000个WordPress网站受到影响。进一步调查允许狼人专家们发现插件垃圾邮件背后的男人是Briton Mason Suiza(23)谁在5月底购买了该插件。

Wordfence.发现还有来自SimplyWordPress域的其他插件(转换ME弹出,死亡,评论,人力验证码,智能reCAPTCHA和社交交换)包含相同的后门代码。

据研究人员介绍,后门用于为各种发薪日贷款业务创建隐藏的反向链接,以提高他们的谷歌排名。

“如果你还没有读过我们的 在Mason Suiza上的前一篇文章,我建议你先读, 由于他拥有悠久的购买WordPress插件,以便在他的用户网站上放置隐藏的反向链接。然后他使用这些反向链接来增加SERPS(搜索引擎结果页面)的页面排名,因为只有GoogleBot等Web爬虫可以读取它们.” states WordPress.

“Hostmaster电子邮件地址对于SimpswordPress.net和Unsecredloans4u.co.uk(Stacy Wellington [email protected])相同。”

让我与专家提供的简单推荐关闭,赶紧,立即从您的网站上卸载CAPTCHA插件。

皮奈里格帕加尼尼

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请