Backdoor encontrado em WordPress plug-in

WordPress é uma das plataformas mais populares para criar websites dinâmicos. Dos últimos dois meses e meio, um plug-in WordPress ou seja, “widgets de exibição” está instalando Backdoor para WordPress websites. De acordo com as pesquisas, esta Backdoor está presente na versão 2.6.1 para 2.6.3 que foi lançado durante 30 de junho a 2 de setembro. A equipe do WordPress oficial removeu este plug-in de seu repositório.

Exibir widget Timeline

O original display widget plug-in foi desenvolvido por Stephanie Wells. Com a ajuda deste plug-ins, os proprietários do site pode controlar qual WordPress widget será exibido no site. Mais tarde, Stephanie Wells vendeu a versão Open Source para um novo desenvolvedor. Um mês depois disso, o novo proprietário lançou a primeira versão nova ou seja, v 2.6.0 em 21 de junho.

Apenas um dia depois, David Law, que é o autor de um outro plug-in, ou seja, widgets de exibição SEO Plus reclamou a equipe WordPress.org que v 2.6.0 está violando o WordPress plug-in regras como ele downloads sobre 38MB de código de um servidor de terceiros. Esse código contém recursos de rastreamento e coleta de dados como endereço IP, histórico de navegação, seqüências de caracteres de agente de usuário e assim por diante. Mais tarde, o autor lançou v 2.6.1 em 1 de julho. Desta vez, David alegou que continha um backdoor malicioso que permite que o proprietário plug-ins para se conectar a um site remoto e criar um novo post. Um dia depois, a equipe oficial de WordPress.org novamente removeu este plug-in do repositório. O terceiro colapso aconteceu quando o autor lançou a versão 2.6.2 para o repositório plug-in em 06 de julho. Por alguns dias, o plug-in não mostrou qualquer comportamento malicioso. No entanto, isso não durou muito tempo. Em 23 de julho, um usuário chamado como Calvin, apresentou uma queixa alegando que o plug-in contém [criar] undetectable [sic] páginas com links de spam. Mais tarde, o investigador oficial confirmou que esta versão também estava criando novas páginas onde o link de outros sites foram inseridos. Este incidente foi seguido por um quarto colapso. Desta vez, a versão 2.6.3 tem o mesmo problema de violação de dados. Em 7 de setembro, outro usuário alegou que este plug-ins inserir links de spam em seu site.

Na actualização recente dos investigadores de Wordfence, continuaram a tomar a escavação no proprietário novo e acreditam que identificaram a pessoa atrás do encaixe. Eles afirmam que ele é a mesma pessoa que estava por trás do seqüestro do 404 e 301 WordPress plug-in.