WordPress验证码插件中隐藏的后门影响了超过30万个网站

购买拥有大量用户群的流行插件，并利用它进行毫不费力的恶意活动，已经成为不良行为者的一种新趋势。

验证码WordPress插件一位未透露姓名的买家修改了插件，下载并安装了一个隐藏的后门。

在周二发布的一篇博客文章中，WordFence安全公司披露了WordPress最近为何将一个活跃安装量超过30万的流行验证码插件从其官方插件商店中踢出。

在查看验证码插件的源代码时，WordFence人员发现了一个严重的后门，该后门允许插件作者或攻击者远程访问WordPress网站，而无需任何身份验证。

该插件被配置为自动从远程URL获取更新的“后门”版本—；https[：/]simplywordpress[dot]net/captcha/captcha_pro_update。php—；未经网站管理员同意，从官方Wordpress存储库安装后。
此后门代码旨在为攻击者创建登录会话，攻击者在本例中是插件作者，具有管理权限，允许他们远程访问300000个网站（使用此插件）中的任何一个，而无需任何身份验证。

WordFence的博文写道：“这个后门创建了一个用户ID为1的会话（WordPress第一次安装它时创建的默认管理员用户），设置身份验证cookie，然后删除自己。”。“后门安装代码未经验证，这意味着任何人都可以触发它。”

此外，从远程服务器提取的修改后的代码几乎与合法插件库中的代码相同，因此“触发相同的自动更新过程会删除后门的所有文件系统痕迹”，使其看起来好像从未存在过，并帮助攻击者避免被发现。
目前尚不清楚添加后门背后的原因，但如果有人花了大笔钱购买一个拥有大量用户群的流行插件，背后一定有强烈的动机。

在类似的案例中，我们看到了有组织的网络帮派如何获得流行的插件和应用程序，从而用恶意软件、广告软件和间谍软件悄悄地感染他们庞大的用户群。

WordFence研究人员在查明验证码插件购买者的实际身份时发现，为后门文件提供服务的simplywordpress[dot]网络域是使用电子邮件地址“scwellington[at]hotmail.co.uk]注册给名为“Stacy Wellington”的人的

通过使用反向whois查找，研究人员发现了大量注册给同一用户的其他域，包括Convert me Popup、Death to Comments、Human Captcha、Smart Recaptcha和Social Exchange。

有什么有趣的？上述所有在用户名下注册的域名都包含WordFence研究人员在Captcha中发现的相同后门代码。

WordFence has teamed up with WordPress to patch the affected version of Captcha plug-in and blocked the author from publishing updates, so websites administrators are highly recommended to replace their plugin with the latest official Captcha version 4.4.5.

WordFence承诺将发布关于后门安装和执行工作原理的深入技术细节，并在30天后进行概念验证，以便管理员有足够的时间修补他们的网站。