اخیرا پلاگین یا افزونه ی تقلبی برای اسیب زدن به وردپرس منتشر شده است که در پشت صحنه تلاش میکند تا کاربر را به این باور برساند که یک ورژن از یک پلاگین محبوب است و بالای 100هزاربار نصب شده است. x-wp-Spam-Shield-pro پلاگین مزاحمی است که پلاگین محبوب wp-SpamShieldAnti-Spamرا مورد سوء استفاده قرار میدهد. کدی که نویسنده برای طراحی درب پشتی در این پلاگین استفاده نموده ابتدا کلیه پلاگینهای دیگر را از جمله پلاگینهای امنیتی، غیر فعال نموده، دادهها را میدزد و در نهایت یک اکانت با دسترسی ادمین به صورت مخفی ایجاد میکند.
محققآن Sucuri Security دریافتند این پلاگین مزاحم ساختار و نام فایل قانونی دارد اما همهی مفاد آن جعلی میباشند. یکی از کلاسهای این پلاگین مخرب class-social-facebook.php نام دارد، این کلاس که به ظاهر هرگونه اسپم ناخواسته فیس بوک را مسدود می کند ولی به دنبال لیست کردن تمام پلاگینهای فعال در وردپرس که شامل موارد امنیتی می باشد و آن ها را غیرفعال میکند. بنابراین میتواند بطور بالقوه به سایت نفوذ کرده و آن را غیرقابل استفاده کند.
و دو کلاس دیگر به نامهای class-term-metabox-formatter.php و class-admin-user-profile.php که برای اهداف جمع اوری اطلاعات طراحی شده بودند. اولی برای بدست اوردن ورژن وردپرس استفاده میشود و دومی برای بدست آوردن لیست مدیران ورپرس میباشد و به این ترتیب مهاجم تمام اطلاعات کار با سایت را خواهد داشت.
یکی دیگر از فایلها که plugin-header.php نامیده میشود برای اضافه کردن حساب کاربری یک مدیر با نام mw01main به سایت استفاده می شود. این فایل شامل کدی برای پاک کردن خودش است.
همچنین این پلاگین جعلی شامل کدی می باشد که با فعال شدن هر مدیر مهاجم مطلع میشود. بنابراین زمانی که یک سایت جدید در دسترس باشد مهاجم باخبر می شود.
Send Post() هم تابعی از پلاگین مذکور میباشد که اطلاعات سایتهای اسیب دیده را جمع اوری کرده و برای مهاجم ارسال میکند، اطلاعاتی مانند کاربر، پسورد، ادرس ip، سایتهای فعلی که پلاگین روی آن فعال است،ادرسip سرور و… .
Susuri شرح میدهد که تابعی هم در این پلاگین پیدا شده و به مهاجم اجازه میدهد تا اطلاعات خود را روی سایت بارگذاری نماید. خبر خوب این است که این پلاگین مخرب برای مخزن وردپرس ساخت نشده است. توصیه میشود که برای استفاده از پلاگین ها از منابع مطمئن استفاده کنید.
مرجع: http://www.securityweek.com/backdoor-masquerades-popular-wordpress-plugin