大规模的WordPress插件生态系统开始显示出腐烂的气隙:将老旧弃用的插件卖给新作者,而后者马不停蹄地在原始代码中加了一个后门。
WordPress 安全团队Wordfence发现了这三个后门并已将相关插件从官方WordPress 插件目录中删除。三个带后门的插件情况如下:
| 插件名称 | 下载量 | 带后门的版本 | 调用 | 遭删除时间 |
| Duplicate Page and Post | 50,000+ | v.2.1.0(2017年8月) | cloud-wp.org | 2017年12月14日 |
| No Follow All External Links | 9,000+ | V2.1.0(2017年4月) | cloud.wpserve.org | 2017年12月19日 |
| WP No External Links | 30,000+ | V4.2.1(2017年7月) | w pconnect.org | 2017年12月22日 |
后门出自同一人之手
这三个插件中后门的运作方式类似,都是调用一个远程服务器并在受影响站点中插入内容和链接。专家认为后门代码用于在受影响站点上注入隐藏的SEO垃圾(虚假链接),帮助改善其它站点的搜索引擎排名。
Wordfence 专家分析恶意插件的运作方式后认为这三个插件来自同一个人:
l 第一个和第三个插件的后门调用同一个IP地址上托管的两个不同域名。
l 同一家公司 (Orb Online) 付款购买第一个和第二个插件。
l 通过邮件向第二个和第三个插件所有人的购买询价使用了类似的模板。
l 所有插件都是由新建 WordPress.org 用户购买。
l 三个插件中的后门代码类似。
此类安全事件变得越来越常见
这并非Wordfence首次发现这类事件:大批量购买老旧WordPress插件随后插入后门,向使用受影响插件的站点中注入SEO垃圾信息。
此前,Wordfence认为购买多个插件并加入后门的是一名英国男子 Mason Soiza。他被指跟多个插件中的多个后门之间存在关联,如Captcha(安装量超过30多万次)、Display Widgets(安装量超过20多万次)和404 to 301(安装量超过7万多次)。
WordPress 安全团队成员White Fir Design指出,这些插件通常会在受感染站点上存在多年时间。例如,三年之后数百个WordPress站点(但可能已遭遗弃)仍然在运行带有类似SEO垃圾信息注入后门的14个插件之一。