Ve včerejším článku, uveřejnili bezpečnostní specialisté ze Sucuri, informaci o tom, že do populárního pluginu Custom Content Type Manager, byl vložen backdoor, který umožňuje ovládnout váš web.
Jak se píše v již zmiňovaném článku, plugin má ve statistikách na WordPress.org více než 10 tisíc aktivních instalací. Přesto, vypadal plugin opuštěně, deset měsíců nedošlo k žádné aktualizaci. Před dvěma týdny však došlo k aktualizaci, při které se změnil autor pluginu a byl přidán uživatel wooranker.
Ten, při této aktualizaci, přidal soubor auto-update.php, který umožňuje, nahrát jakýkoliv soubor, do složky pro pluginy a uložit s příponou php.
To ale není všechno. Zároveň byl vytvořen soubor CCTM_Comunicator.php a byla přidána nová funkce do index.php pluginu.
Funkce a soubor, při každém přihlášení, zaznamenají uživatelské jméno a heslo, které odeslají na určitou adresu.
Wooranker tak po aktualizaci pluginu, získá připravený backdoor a zároveň může získat vaše přihlašovací údaje.
Neméně zajímavý je však scénář, který je popisován dále v článku.
Útočník, pomocí vytvořeného backdooru nahrál do složky pro pluginy soubor c.php, který slouží k vytvoření souboru wp-options.php v kořenové složce WordPressu. Ten využije potřebné soubory jádra a vytvoří uživatele s administrátorskými právy. Mezitím je soubor c.php smazán.
Největší nebezpečí je, pokud používáte automatickou aktualizaci pluginů. V tu chvíli máte problém, ani o tom netušíte.
Skvělá je i poslední část zmiňovaného článku, kde poměrně jednoduše odkrývají totožnost jistého vývojáře, který stojí za útokem.
Zdroj: https://blog.sucuri.net/2016/03/when-wordpress-plugin-goes-bad.html
