Backdoor trovato in WordPress plug-in

WordPress è una delle piattaforme più popolari per creare siti Web dinamici. Dagli ultimi due mesi e mezzo, un WordPress plug-in vale a dire “display widget” è l’installazione di backdoor per WordPress siti Web. Secondo le ricerche, questa backdoor è presente nella versione 2.6.1 a 2.6.3 che è stato rilasciato durante il 30 giugno al 2 settembre. Il team ufficiale di WordPress ha rimosso questo plug-in dal loro repository.

Visualizza widget Timeline

L’originale display widget plug-in è stato sviluppato da Stephanie Wells. Con l’aiuto di questo plug-in, proprietari di siti Web in grado di controllare quale widget WordPress sarà visualizzato sul sito. Più tardi, Stephanie Wells ha venduto la versione open source ad un nuovo sviluppatore. Un mese dopo, il nuovo proprietario ha rilasciato la prima nuova versione vale a dire v 2.6.0 il 21 giugno.

Solo un giorno dopo, David Law, che è l’autore di un altro plug-in e cioè Display Widget SEO più lamentato la squadra WordPress.org che v 2.6.0 sta violando il plug-in WordPress regole come download oltre 38MB di codice da un server di terze parti. Questo codice conteneva funzionalità di rilevamento e raccoglieva dati quali indirizzo IP, cronologia di navigazione, stringhe di agente utente e così via. Più tardi, l’autore rilasciato v 2.6.1 il 1 ° luglio. Questa volta, David ha affermato che conteneva un backdoor maligno che permette al proprietario plug-ins di connettersi a un sito Web remoto e creare un nuovo post. Un giorno dopo, il team ufficiale di WordPress.org nuovamente rimosso questo plug-in dal repository. La terza ripartizione è accaduto quando l’autore ha liberato la versione 2.6.2 al deposito del plug-in il 6 luglio. Per pochi giorni, il plug-in non ha mostrato alcun comportamento maligno. Tuttavia, questo non durò troppo a lungo. Il 23 luglio, un utente chiamato come Calvin Ngan ha presentato una denuncia sostenendo che plug-in contiene [creazione] non rilevabili [sic] pagine con link di spam. Successivamente, l’investigatore ufficiale confermò che questa versione era anche la creazione di nuove pagine in cui sono stati inseriti link di altri siti. Questo incidente è stato seguito da una quarta ripartizione. Questa volta, la versione 2.6.3 ha lo stesso problema di violazione dei dati. Il 7 settembre, un altro utente ha sostenuto che questo plug-ins inserire link di spam sul suo sito Web.

In recente aggiornamento da ricercatori Wordfence, hanno continuato a prendere Dig al nuovo proprietario e credono di aver identificato la persona dietro il plug-in. Essi sostiene che lui è la stessa persona che era dietro dirottando il 404 e 301 WordPress plug-in.