Sute de mii de siteuri afectate de un backdoor WordPress

hackedwpZilele trecute un plugin din arhiva WordPress a fost identificat ca fiind malware deoarece continea in codul sursa un backdoor.

Ce s-a intamplat de fapt? Un plugin care oferea cod Captcha pentru WordPress a fost vandut de firma dezvoltatoare BestWebSoft, catre alt developer. Acest developer a modificat cateva linii de cod din sursa pluginului gazduit de WordPress Repository, introducand un backdoor.

Acest backdoor permite autorului sa capete acces administrativ la sectiunea de administrare a siteului WordPress prin crearea unei sesiuni cu ID-ul de user 1 (userul default administrator) si prin setarea unui cookie de autentificare. Dupa aceste actiuni fisierul backdoor se auto-sterge. In acest fel atacatorul capata acces administrativ la site si nu lasa urme.

Niste cercetari facute de cei de la wordfence.com arata ca developerul care a cumparat pluginul de la BestWebSoft a mai facut in trecut astfel de ilegalitati, cumparand si compromitand pluginuri de wordpress, punand astfel in pericol foarte multe siteuri.

Pluginul Captcha pentru WordPress era folosit de circa 300.000 de websiteuri. Va sfatuim sa il dezinstalati imediat in cazul in care il folositi.

Ce inseamna Captcha: este o imagine in care se regaseste o combinatie aleatoare de caractere pe care vizitatorul unei pagini trebuie sa le completeze pentru a putea accesa un formular sau alta resursa. Acest cod captcha are rolul de a identifica daca vizitatorul este o persoana reala sau un robot. Codul Captcha previne completarea automata a unor formulare de catre scripturi de tip bot, ajutand astfel la reducerea SPAM-ului.