668 145 480 [email protected]

W repozytorium WordPressa regularnie znikają wtyczki czy motywy, które stwarzają zagrożenie dla użytkowników. Konsekwencją tego jest brak aktualizacji takich wtyczek, a także nie można ich więcej pobierać z repozytorium. Dziś wspomnę o trzech wtyczkach, które nie bez powodu zniknęły z repozytorium WordPressa i które najczęściej spotykam na stronach oczyszczanych z wirusów.

Duplicate Page and Post

Wtyczka wg danych dostępnych na wordpress.org instalowana była ponad 50 tysięcy razy, oficjalnie została usunięta z repozytorium 14 grudnia 2017 roku. Kłopoty z wtyczką rozpoczęły się, gdy jej autor sprzedał ją dla Daley Tias, osobie która jest ogólnie zagadką i możliwe że samo imię i nazwisko nie jest prawdziwe.

[showmyads]

Backdoor został wykryty już w wersji 2.1.0.

[sociallocker] Wirus łączył się z cloud-wp.org i między innymi podstawiał dla popularnych robotów wyszukiwarek fejkowe treści stron, a także wstrzykiwał zamaskowane backlinki do treści stron użytkowników.

ZOBACZ:  Gdzie jest strona główna w Wordpressie?

No Follow All External Links

[/sociallocker]
To już nie tak popularna wtyczka jak ta opisywana powyżej, ale również swoim zasięgiem dotarła do prawie 10 000 stron, więc warto o niej wspomnieć.

Backdoor, którego kod widzicie powyżej pojawił się już w wersji 2.1.0, czyli jakieś 10 miesięcy temu.

Podobnie jak Duplicate Page and Post wtyczka odpytywała stronę cloud.wpserve.org, a to kończyło się wstrzykiwaniem backlinków na potrzeby SEO do treści stron użytkowników. Co ciekawsze, władzę nad wtyczką miała firma Orb Online, czyli firma specjalizująca się w SEO, eCommerce i Magento, co by tłumaczyło samo przeznaczenie wirusa.

WP No External Links

Ta wtyczka aktywna jest na ponad 30 000 stron na całym świecie i autor sprzedał ją 12 lipca 2017 roku, co skończyło się takim kodem:

Co ciekawsze, znowu pojawia się tu firma Orb Online, dzięki czemu nie muszę tłumaczyć do czego ją zaczęli wykorzystywać. Na nowo pojawia się także osoba Daley Tias. Jeśli ujrzycie w treści strony bądź gdziekolwiek adres wpconnect.org to usuńcie lepiej całą wtyczkę, a na pewno szybko znajdziecie bezpieczniejszą alternatywę.

[showmyads]

Wpconnect.org posiada identyczny adres IP co wspomniany wcześniej adres cloud-wp.org.

Podsumowanie

Po prostu, jeśli używacie tych wtyczek to jak najszybciej je wyłączcie, a jeśli mieliście je w przeciągu ostatniego roku to dokładnie przeanalizujcie swoje strony pod kątem złośliwego oprogramowania. Możecie także zlecić nam darmową analizę, albo jeśli już wiecie o problemach to odwirusowanie WordPressa.

ZOBACZ:  10 sposobów na ochronę strony opartej o Wordpress

Artykuł przetłumaczony z oficjalnego bloga Wordfence.