WordPress暗藏两大恶意插件，可安装后门和挖掘加密货币

2003年WordPress从b2/cafelog分支出第一个版本，如今已经成为最受欢迎的自由开源的博客软件和内容管理系统。

然而近期WordPress被曝存在一些恶意插件，活动数量超过200万。

WordPress是什么？

WordPress作为一款内容管理程序，适用于任务类型网站，旨在为每个用户提供在线内容发布功能，并提供任务种类的内容信息共享，其插件库和主题库也在不断扩展中。

此外，WordPress拥有灵活的插件架构和模板系统，满足了所有人对博客从功能到形式的需求，使得WordPress的用户遍布全球。

同时，WordPress使用开源PHP语言代码文本，始终免费为用户提供服务，同时也不断优化添加其功能，更新和改进核心代码，以适应用户需求。

WordPress与社区的开发人员合作，让它变得更安全，然而一个不小心，就有恶意插件混了进来。

利用二进制文件挖掘加密货币

狸猫换太子，攻击者使用伪造的插件冒充WordPress公共存储库中的插件，使用同样的名称来迷惑用户的视线，只需要对合法插件的代码进行恶意修改就可以完成，目前已被发现有400多次安装。

一旦用户下载此插件，攻击者就可获取服务器的访问权限，同时还可以运行Linux二进制文件的代码挖掘加密货币。

即使删除感染媒介也无济于事，依然可以使攻击者访问服务器并在博客上加密内容。

伪造插件暗藏恶意后门

除了上述插件之外，攻击者还在WordPress网站上安装恶意后门来获取权限，并上传Web Shell和脚本来强行控制其他站点。

恶意插件主要克隆WordPress的合法插件，以其受欢迎的功能来吸引用户下载，实际上会在下载的过程中安装后门。

攻击者利用后门通过POST请求能够将出于恶意目的的任意文件上传到受感染网站的服务器。

文件上传功能

这些文件包含下载位置信息，获得文件路径以及文件的相关参数。

此外，攻击者还将Web Shell（恶意脚本提供对服务器的远程访问）放在受感染服务器的随机位置，使攻击者能够对其他网站发起DDoS和暴力攻击，以轻松获得目标站点的大量登录凭证。

这些伪造插件使WordPress面临安全风险，用户使用时还需小心谨慎。

* 本文由看雪编辑 LYA 编译自 Bleeping Computer，转载请注明来源及作者。