信息來(lái)源：secdoctor

大規(guī)模的WordPress插件生態(tài)系統(tǒng)開(kāi)始顯示出腐爛的氣隙：將老舊棄用的插件賣給新作者，而后者馬不停蹄地在原始代碼中加了一個(gè)后門。

WordPress安全團(tuán)隊(duì)Wordfence發(fā)現(xiàn)了這三個(gè)后門并已將相關(guān)插件從官方WordPress插件目錄中刪除。三個(gè)帶后門的插件情況如下：

后門出自同一人之手

這三個(gè)插件中后門的運(yùn)作方式類似，都是調(diào)用一個(gè)遠(yuǎn)程服務(wù)器并在受影響站點(diǎn)中插入內(nèi)容和鏈接。專家認(rèn)為后門代碼用于在受影響站點(diǎn)上注入隱藏的SEO垃圾(虛假鏈接)，幫助改善其它站點(diǎn)的搜索引擎排名。

Wordfence 專家分析惡意插件的運(yùn)作方式后認(rèn)為這三個(gè)插件來(lái)自同一個(gè)人：

l 第一個(gè)和第三個(gè)插件的后門調(diào)用同一個(gè)IP地址上托管的兩個(gè)不同域名。

l 同一家公司 (Orb Online) 付款購(gòu)買第一個(gè)和第二個(gè)插件。

l 通過(guò)郵件向第二個(gè)和第三個(gè)插件所有人的購(gòu)買詢價(jià)使用了類似的模板。

l 所有插件都是由新建 WordPress.org 用戶購(gòu)買。

l 三個(gè)插件中的后門代碼類似。

此類安全事件變得越來(lái)越常見(jiàn)

這并非Wordfence首次發(fā)現(xiàn)這類事件：大批量購(gòu)買老舊WordPress插件隨后插入后門，向使用受影響插件的站點(diǎn)中注入SEO垃圾信息。

此前，Wordfence認(rèn)為購(gòu)買多個(gè)插件并加入后門的是一名英國(guó)男子Mason Soiza。他被指跟多個(gè)插件中的多個(gè)后門之間存在關(guān)聯(lián)，如Captcha(安裝量超過(guò)30多萬(wàn)次)、Display Widgets(安裝量超過(guò)20多萬(wàn)次)和404 to 301(安裝量超過(guò)7萬(wàn)多次)。

WordPress安全團(tuán)隊(duì)成員White Fir Design指出，這些插件通常會(huì)在受感染站點(diǎn)上存在多年時(shí)間。例如，三年之后數(shù)百個(gè)WordPress站點(diǎn)(但可能已遭遺棄)仍然在運(yùn)行帶有類似SEO垃圾信息注入后門的14個(gè)插件之一。