Wordpress插件惊爆后门，影响超过30万站点

买一款有众多用户的插件，并将之用于恶意软件活动，已成为一种犯罪”新潮流“。

最近一个著名开发商BestWebSoft将wordpress的Captcha插件卖给了一个神秘买家，该买家随后修改了插件，并在后门下载安装了一个隐藏的后门。

本周二发布的一篇博客中，WordFence 安全公司揭秘了为何WordPress 将备受欢迎的Captcha插件（下载量超过30万）清理出其官方插件商城。

查看Captcha插件的源代码时，安全研究人员发现了一个严重的后门，可允许黑客远程获取管理者权限，不需要任何认证即可进入WordPress的网站。

该插件在没有站点管理员同意的情况下从官方Wordpress存储库安装，并可从远程URL（https[://]simplywordpress[dot]net/captcha/captcha_pro_update.php）自动提取更新的“后门”版本。

这个后门代码为攻击者创建了一个登录界面，在这种情况下，攻击者即类似于插件作者，具有管理权限，允许他们无需任何身份验证即可远程访问30万个网站（使用此插件）。

“这个后门创建了一个用户ID为1的会话（WordPress首次安装时创建的默认管理员用户），设置身份验证Cookie，然后删除自己。”WordFence所发博客中提到： “后门安装代码是未经验证的，那就意味着任何人都可以触发它。”

另外，从远程服务器获取的修改后的代码与合法插件库中的代码几乎一样，因此该代码会触发相同的自动更新过程，还会删除后门的所有文件系统”，使其看起来好像从不存在，并帮助攻击者免于被检测。

加入后门的原因目前还不清楚，但是如果有人愿意花费这么大的代价来购买一个拥有庞大用户群的流行插件，其背后动机定不单纯。

有很多与此相似的案件，例如有组织的网络团伙利用流行插件和应用程序，以隐身的方式感染他们庞大的用户群，包括恶意软件，广告软件和间谍软件。

在查明Captcha插件买家真实身份的同时，WordFence的研究人员发现，为后门文件提供服务的simplywordpress
[dot]网域已经使用电子邮件地址“scwellington [at] hotmail.co.uk”注册给名为“Stacy
Wellington”的人“。

研究人员使用反向whois查找，发现大量其他域都注册到同一用户名下，包括Convert me Popup, Death To Comments, Human Captcha, Smart Recaptcha, and Social Exchange。

有一点很有意思，所有上述在该用户下预订的域名都包含有在Captcha中找到的同样的后门代码。

WordFence与WordPress合作，修补了受到影响的Captcha插件并禁止作者发布更新。强烈建议网站管理员将其插件替换为官方发布的Captcha最新版本4.4.5。

WordFence已承诺将发布关于后门安装和操作的深入技术细节，并将在30天后验证漏洞，以便管理员获得足够的时间修补网站。