Backdoor trouvé dans WordPress plug-in

WordPress est l’une des plates-formes les plus populaires pour créer des sites Web dynamiques. Du passé deux mois et demi, un plug-in WordPress, à savoir “widgets d’affichage” est l’installation de porte dérobée à WordPress sites. Selon les recherches, cette porte dérobée est présente dans la version 2.6.1 à 2.6.3 qui a été libérée entre le 30 juin et le 2 septembre. L’équipe officielle de WordPress a enlevé ce plug-in de leur référentiel.

Afficher la chronologie du widget

Le plug-in original Display widget a été développé par Stephanie Wells. Avec l’aide de ce plug-ins, les propriétaires de sites Web peuvent contrôler quel widget WordPress sera affiché sur le site. Plus tard, Stephanie Wells a vendu la version open source à un nouveau développeur. Un mois après cela, le nouveau propriétaire A publié la première nouvelle version, à savoir v 2.6.0 le 21 juin.

Juste un jour après, David Law, qui est l’auteur d’un autre plug-in, nommément widgets d’affichage SEO plus plaint l’équipe WordPress.org que v 2.6.0 viole le plug-in WordPress règles car il télécharge plus de 38 de code à partir d’un serveur tiers. Ce code contient des fonctionnalités de suivi et de collecter des données telles que l’adresse IP, l’historique de navigation, les chaînes d’agent utilisateur et ainsi de suite. Plus tard, l’auteur a publié v 2.6.1 le 1er juillet. Cette fois, David a affirmé qu’il contenait une porte dérobée malveillante qui permet au propriétaire de plug-ins de se connecter à un site distant et de créer un nouveau poste. Un jour plus tard, l’équipe officielle de WordPress.org A de nouveau retiré ce plug-in du référentiel. La troisième panne s’est produite lorsque l’auteur a publié la version 2.6 au plug-in référentiel le 6 juillet. Pendant quelques jours, le plug-in n’a montré aucun comportement malveillant. Cependant, cela n’a pas duré trop longtemps. Le 23 juillet, un utilisateur nommé comme Calvin Ngan a déposé une plainte prétendant que le plug-in contient [création] des pages [sic] indétectables avec des liens spammy. Plus tard, l’enquêteur officiel a confirmé que cette version créait également de nouvelles pages où le lien d’autres sites ont été insérés. Cet incident a été suivi d’une quatrième panne. Cette fois, la version 2.6.3 a le même problème de violation de données. Le 7 septembre, un autre utilisateur a prétendu que ce plug-ins insérer des liens spammy sur son site Web.

Dans la récente mise à jour des chercheurs de Wordfence, ils ont continué à prendre creuser au nouveau propriétaire et ils croient qu’ils ont identifié la personne derrière le plug-in. Ils affirment qu’il est la même personne qui était derrière le détournement de la 404 et 301 WordPress plug-in.