Откриха бекдор в популярно WordPress приложение – Kaldata.com



Популярен плъгин за WordPress с над 200 000 инсталации е помещавал скрита функционалност, действаща, като бекдор. Кодът в Display Widgets, името на въпросния плъгин, е бил вграден преди повече от два месеца – между версия 2.6.1 (пуснат в края на юни) и версия 2.6.3 (появила се в началото на този месец), предава Bleeping Computer.

След доклад за зловредната дейност на плъгина, екипът на WordPress.org са го премахнали от магазина на платформата. Любопитен момент е, че плъгина вече е бил премахван три пъти досега след сходни нарушения. Към момента на премахването му, Display Widgets е бил инсталиран на повече от 200 000 сайта, макар и да не е известно колко от тях са ползвали версии със споменатата скрита характеристика.

Оригиналният Display Widgets е плъгин за WordPress, който служи на собствениците на интернет ресурси, изградени на основата популярния CMS, да контролират кои уиджети да се появяват на страниците им, как да се представят и кога. Разработчикът на плъгина – Стефани Уелс – решава след време да продаде откритата версия на плъгина и да започне да поддържа единствено премиумна негова версия, което става през май. Новият му собственик пуска в края на юни нова версия – 2.6.0. Скоро след това, разработчик на конкурентно приложение – Display Widgets SEO Plus – алармира хората от WordPress.org, че Display Widgets нарушава политиките на платформата, сваляйки допълнително данни от външен сървър. Този допълнителен код, твърди въпросният разработчик, събира различен тип информация, като интернет адреси, потребителски агенти, домейните, от които се събира информацията и страницата, разглеждана от потребителя, изпращайки данните към команден сървър. След доклади и на други потребители, администриращите плъгин хранилището на WP решават да премахнат плъгина. В началото на юли, новият автор на плъгина успява да убеди хората от WordPress, че е направил нужните промени, които в този случай се изразявали в това, че вместо да сваля допълнителен код от външен сайт, нелигитимната му функционалност вече просто била вградена в плъгина. Дейвид Лоу, човекът, забелязал зловредната функционалност на Display Widgets, отново алармира хората от WP за скритата му характеристика и плъгина е премахнат за втори път. Последва нова версия и ново качване на плъгина. И ново негово премахване, след като негов потребител, че създава страници със спам линкове, като скрива тези страници от администраторите на сайтовете, в които създава тези скрити страници. В началото на този месец, WordPress. org позволява новата му поява, за да го премахне за четвърти път след пореден доклад, че вмъква спам линкове по страниците на сайтовете, на които е инсталиран.

Нееднократната поява на плъгина породи критика от специалисти, запознати със случая, но изпълнителният директор на една от компаниите, включили се в разследването на случая, Марк Мондър от Wordfence, защити администраторите на WP плъгин хранилището, припомняйки, че в основата това са доброволци, които оказват безвъзмездно своята помощ.



こんな記事も読まれています



コメントを残す