逾30萬WordPress網站安全拉警報! Captcha外掛遭植入後門

逾30萬WordPress網站安全拉警報! Captcha外掛遭植入後門 Wordfence發現WordPress網站的圖像驗證外掛程式Captcha竟藏有後門,可讓第三方取得網站的管理權限,估計30萬個WordPress網站受影響,Wordfence已與WordPress團隊聯手釋出沒有後門的Captcha  4.4.5。 文/陳曉莉 | 2017-12-20發表 示意圖,與新聞事件無關。 圖片來源: BestWebSoft 專門開發WordPress平台安全外掛程式的Wordfence周二(12/19)指出,他們在WordPress的免費外掛程式Captcha中發現了後門,可允許任何人存取WordPress網站的管理權限。Captcha外掛程式是個圖像驗證機制,用來驗證造訪者是人類或是機器人,以供WordPress網站防止機器人大軍的入侵。該外掛程式的原始開發商BestWebSoft在今年9月將免費版的所有權轉交給了Simply WordPress,並保留付費的Captcha Plus與Captcha Pro版本。有趣的是,此一後門的曝光其實是個意外。Captcha在前陣子因品牌名稱中使用了「wordpress」,侵犯WordPress的商標權而遭到WordPress告誡並將之下架,由於Captcha擁有超過30萬的用戶,引起Wordfence的注意並進一步分析Captcha的程式碼,才發現了後門。根據Wordfence的說明,該後門以WordPress網站的預設管理員身分「 ID 1」建立了一個期間,設置了認證Cookies,再自行刪除,且任何人都能觸發它。BestWebSoft在接手Captcha之後所陸續釋出的數個更新都含有後門,從Captcha 4.3.6到4.4.4。Wordfence則與WordPress團隊聯手釋出未含後門的Captcha  4.4.5,並藉由自動更新來修補受到影響的版本。WordPress也封鎖了Simply WordPress直接更新Captcha的能力,未來的更新都需經WordPress審核後才能放行。此外,Wordfence也察覺Simply WordPress與惡名昭彰的Mason Soiza有所關聯,Soiza過去曾購買多個擁有大量用戶的WordPress外掛程式,同樣透過更新植入後門,目的是為了在這些WordPress網站上嵌入隱藏的反向連結(backlink),以提高Soiza客戶網站在搜尋結果頁面上的排名。例如Display Widgets外掛程式的後門也是出自Soiza之手。 iThome Security

更多訊息更多資料都在這裡喔!~保健食品~關鍵字排名~網站排名~蜂王漿~明亮寶~SEO~婦貴寶~蜂王乳~智勝王~GOOGLE排名~~南極冰洋磷蝦油~健康食品~磷蝦油~~~芙婷寶

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *