信息來源：secdoctor

大規(guī)模的WordPress插件生態(tài)系統(tǒng)開始顯示出腐爛的氣隙：將老舊棄用的插件賣給新作者，而后者馬不停蹄地在原始代碼中加了一個后門。

WordPress安全團隊Wordfence發(fā)現(xiàn)了這三個后門并已將相關(guān)插件從官方WordPress插件目錄中刪除。三個帶后門的插件情況如下：

后門出自同一人之手

這三個插件中后門的運作方式類似，都是調(diào)用一個遠程服務器并在受影響站點中插入內(nèi)容和鏈接。專家認為后門代碼用于在受影響站點上注入隱藏的SEO垃圾(虛假鏈接)，幫助改善其它站點的搜索引擎排名。

Wordfence 專家分析惡意插件的運作方式后認為這三個插件來自同一個人：

l 第一個和第三個插件的后門調(diào)用同一個IP地址上托管的兩個不同域名。

l 同一家公司 (Orb Online) 付款購買第一個和第二個插件。

l 通過郵件向第二個和第三個插件所有人的購買詢價使用了類似的模板。

l 所有插件都是由新建 WordPress.org 用戶購買。

l 三個插件中的后門代碼類似。

此類安全事件變得越來越常見

這并非Wordfence首次發(fā)現(xiàn)這類事件：大批量購買老舊WordPress插件隨后插入后門，向使用受影響插件的站點中注入SEO垃圾信息。

此前，Wordfence認為購買多個插件并加入后門的是一名英國男子Mason Soiza。他被指跟多個插件中的多個后門之間存在關(guān)聯(lián)，如Captcha(安裝量超過30多萬次)、Display Widgets(安裝量超過20多萬次)和404 to 301(安裝量超過7萬多次)。

WordPress安全團隊成員White Fir Design指出，這些插件通常會在受感染站點上存在多年時間。例如，三年之后數(shù)百個WordPress站點(但可能已遭遺棄)仍然在運行帶有類似SEO垃圾信息注入后門的14個插件之一。