WordPress 再度被发现一些具有后门功能的插件
安全人员近日发现了一些带有后门的WordPress插件,如initiatorseo和updrat123等,这也是黑客常用的攻击手段。
尽管这些后门暂未被利用,但其后果可想而知,黑客可以控制和利用这些网站攻击其他站点、挖矿或发送垃圾邮件。
经安全分析,黑客是参照了一款活跃用户超过两百万且保持定位更新的 UpdraftPlus 插件,伪造出了上述恶意插件。
站长安装恶意插件后,黑客可以利用这些插件将后门文件上传到网站的根目录下,然后利用脚本暴力攻击其他站点。
这些插件被不明所以的站长安装后,能够隐藏在WordPress的首页中,只有通过具有特定的浏览器才能够发现它们。
而且就算是管理员也无法看到自己的网站通过WordPress的插件被安装了后门程序,自然也就无法进行核查和清除。
这些后门通过POST请求将恶意程序上传到服务器,请求中包含文件下载位置路径和被感染服务器上的路径和名称。
当然,即便是站长发现自己安装了恶意插件并成功卸载,黑客仍能够在用户电脑上建立后门并获得服务器访问权限。
目前该插件似乎没有什么破解办法,对于WordPress站长来说,最有效的防护措施是不要随意安装来路不明的插件。
按照笔者的经验,此类恶意插件不会污染数据库,因此可以将数据库和重要文件夹备份,重新做站或迁移新服务器。