3 Επικίνδυνα WordPress plugins που πρέπει να προσέξετε

 

Το συγκεκριμένο άρθρο, αρχικά δημοσιεύτηκε στο blog του Wordfence, στη συνέχεια μεταφράστηκε και αναπαράγεται εδώ:

Τον τελευταίο καιρό, η WordPress έκλεισε την λειτουργία τριών wordpress plugins, καθώς περιείχαν κώδικα που εγκαθιστούσε κερκόπορτες στα WordPress sites. Με το “κλείσιμο” αυτών των wordpress plugins, σημαίνει ότι πλέον δεν υπάρχουν στο repository της WordPress προς εγκατάσταση και δεν θα εμφανίζονται στην ιστοσελίδα της wordpress.org. Κάθε ένα από αυτά τα wordpress plugins είχε αγοραστεί στους προηγούμενους έξι μήνες με στόχο την εισαγωγή του κακόβουλου κώδικα για την ολοκλήρωση SEO spam επιθέσεις σε όλα τα sites που χρησιμοποιούν τα plugins.

Ποια είναι τα plugins:

Plugin 1o: Duplicate Page and Post

URL: https://wordpress.org/plugins/duplicate-page-and-post/
Active Installs: 50,000+
Current Owner: pluginsforwp (joined WordPress.org July 10, 2017)
Sold Date: August 2017
Removed from WordPress.org date: December 14, 2017

Έπειτα από επικοινωνία με τον αρχικό developer του συγκεκριμένου plugin, αναφέρθηκε από τον ίδιο ότι όντως πούλησε το plugin στον Daley Tias, το καλοκαίρι του 2017. Ωστόσο, δεν φαίνεται να υπάρχει κάποια καταγραφή για το συγκεκριμένο όνομα.

Κερκόπορτα:

Ο κακόβουλος κώδικας, φαίνεται να προστέθηκε στην version 2.1.0 (που δημοσιεύτηκε περίπου πριν 4 μήνες). Ο ανανεωμένος κώδικας, δείχνει την μορφή του ίδιου κακόβουλου κώδικα, από την έκδοση 2.1.1. Ουσιαστικά ολοκληρώνεται ένα request προς το domain cloud-wp.org το οποίο επιστρέφει ένα string που περνάει μέσα στο query. Ο συγκεκριμένος κώδικας, τρέχει σε κάθε request του site, συνεπώς, μπορεί εύκολα να χρησιμοποιηθεί για να μολύνει το περιεχόμενο της ιστοσελίδας σε επισκέπτες, web crawlers και διαχειριστές της ιστοσελίδας. Σε άλλες αντίστοιχες περιπτώσεις, αυτού του τύπου οι προσθήκες στον κώδικα χρησιμοποιούνται για να καλυφθούν backdoors και SEO spam.

 

Plugin 2o: Νo Follow All External Links

URL: https://wordpress.org/plugins/nofollow-all-external-links/
Active Installs: 9,000+
Current Owner: gearpressstudio (joined WordPress.org March 17, 2017)
Sold Date: April 2017
Removed from WordPress.org date: December 19, 2017

 

Το μήνυμα εκδήλωσης ενδιαφέροντος για την αγορά του ανωτέρω plugin προήλθε από το όνομα Leon Goodman , το οποίο είναι αρκετά συχνό, ωστόσο, στους ελέγχους της WordPress δεν κατάφεραν να το εντοπίσουν ως κάποιος που ενδιαφέρεται να αγοράσει ένα WordPress plugin.

Η εταιρία που αγόρασε το plugin, ονομάζεται Orb Online από το West Sussex της Αγγλίας. Έπειτα από μια αναζήτηση στο Google , στην ιστοσελίδα της: “Orb Online is a UK based digital marketing agency, specialising in SEO, eCommerce and Magento web development.”

Κερκόπορτα:

Η κερκόπορτα ανακαλύφθηκε στην version 2.1.0, πριν από 8 μήνες περίπου. Όπως και στο προηγούμενο plugin, πραγματοποιείται ένα request προς το cloud.wpserve.org επιστρέφοντας ένα url που περνάει ως argument στο query string. Το περιεχόμενο φαίνεται ότι σχετίζεται με μια ρύθμιση που ονομάζεται Improvement scheme, η οποία είναι by default ενεργοποιημένη. Απενεργοποιώντας την, δεν αφαιρείται η λειτουργία του κακόβουλου κώδικα, καθώς υπάρχει μια συνθήκη if που συγκρίνει την τιμή με το 1. Ο κώδικας, πιστοποιεί τον user agent ως web crawler (πχ Google, Bingbot κλπ), άρα μοιάζει ως επίθεση SEO spam, με προσθήκη backdoors στην εκάστοτε σελίδα.

 

Plugin 3o: WP No External Links

URL: https://wordpress.org/plugins/wp-noexternallinks/
Active Installs: 30,000+
Current Owner: steamerdevelopment (joined WordPress.org June 29, 2017)
Sold Date: July 12, 2017
Removed from WordPress.org date: December 22, 2017 (υποθετική ημερομηνία, από το τελευταίο update και από σχολιασμό του plugin)

Ο αρχικός προγραμματιστής, απέστειλε το email της επικοινωνίας, για την εκδήλωση ενδιαφέροντος για την αγορά του plugin το οποίο μοιάζει αρκετά με το email αγοράς από το plugin No Follow All External Links.  Δεν είναι πανομοιότυπα τα μηνύματα, ωστόσο, φαίνεται ότι ακολουθούν την ίδια δομή.

Ο ίδιος άνθρωπος (ή ψευδώνυμο), αγόρασε και τα δύο plugins Duplication Page και Post and WP No External Links. Η πληρωμή έγινε από την Orb Online και σαν email επικοινωνίας, χρησιμοποιήθηκε το info@orbonline.co.uk. Είναι η ίδια εταιρία που αγόρασε και το No Follow All External Links.

Κερκόπορτα:

Φαίνεται ότι ο κακόβουλος κώδικας εισήχθη στην version 4.2.1 (περίπου πριν 4 μήνες). Με την ίδια λογική, όπως και στα προηγούμενα, πραγματοποιείται ένα request προς το wpconnect.org και επιστρέφει ένα URL που περνάει ως argument στο query string. Ο κώδικας πιστοποιεί τον user agent ως web crawler (πχ Google) άρα μοιάζει ως επίθεση SEO spam με προσθήκη backdoors στην εκάστοτε σελίδα.

Το domain wpconnect.org, λειτουργεί από την ίδια IP όπως και το cloud-wp.org, την 52.14.28.183.

Τα παραπάνω αναφερόμενα wordress plugins θα πρέπει να αφαιρεθούν άμεσα από οποιαδήποτε WordPress εγκατάσταση προκειμένου να αποφευχθεί το ενδεχόμενο παραβίασης του εκάστοτε site.