Стар плъгин за WordPress се използва за хакване на уебсайтове

Изследователи по киберсигурност от фирмата за уеб сигурност Sucuri, собственост на GoDaddy, са установили, че легитимна приставка за WordPress, която вече не е активна, е била превзета от хакери и сега компрометира уебсайтове.

Eval PHP – плъгин, предназначен да позволява на потребителите да добавят PHP код в статии и всякакви страници – изглежда е бил актуализиран за последен път преди десет години.

През последните 10 години не са регистрирани почти никакви изтегляния.

През последния месец обаче интересът към Eval PHP рязко нарасна и достигна над 100 000 изтегляния. В пиковите стойности достигнаха до 7 000 изтегляния на ден.

Eval PHP хак

В съобщението на Sucuri се уточнява, че кодът „използва функцията file_put_contents, за да създаде PHP скрипт в docroot (директорията, която съдържа WordPress) на уебсайта с посочената вратичка за изпълнение на отдалечен код“.

Тъй като задната вратичка използва $_REQUEST[id], за да получи изпълнимия PHP код, в който е съдържанието на $_GET, $_POST и $_COOKIE, тя може да скрие параметрите си, като се маскира като бисквитки.

GET е по-малко откриваем от POST, но не по-малко опасен, казва Sucuri.

Констатациите разкриват също така, че задните вратички се създават в множество публикации, запазени като чернови. По този начин те не са публично видими, нито пък са толкова очевидни за откриване, колкото живите страници.

WordPress не отговори веднага на искането на TechRadar Pro за коментар относно политиката си по отношение на изоставените плъгини.

Засега Sucuri призовава потребителите на WordPress да обезопасят своя wp-admin панел и да наблюдават активността.

Фирмата за сигурност съветва за четири конкретни действия:

  • Поддържайте уебсайта си обновен и в крак с най-новите версии на актуализациите за сигурност
  • Поставете панела за администриране зад 2FA (двуфакторно удостоверяване) или някакво друго ограничение на достъпа
  • Да се използва редовна услуга за архивиране на уебсайта, в случай, че пострадат.
  • Използвайте защитна стена за уеб приложения, за да блокирате лоши ботове и да поправяте известни уязвимости – Sucuri предлагат тази услуга, но и много други компании като Word Fence, MaxCDN, Cloudflare и прочие.