WordPress 10多个插件遭黑,用以创建网站非法帐号

研究人员发现,至少10个WordPress插件程序近日被黑客组织开采漏洞,用以在Wordpress网站创建非法管理员帐号,安装后门程序或窃取信息。

安全厂商Wordfence今年7月发现一波恶意广告攻击,黑客利用多个公开漏洞在Wordpress插件注入JavaScript,以植入重定向及跳出窗口程序代码,以便诱使网站访客前往恶意或欺诈网站。但8月底厂商发现黑客换新手法,企图通过黑入插件后,于网站进行更直接的攻击行为。

研究人员发现一个托管在Rackspace服务器的网站不断对外发出攻击,目标是网络上WordPress网站上特定一批公开漏洞,这波攻击主要影响Bold Page Builder、Blog Designer、Live Chat with Facebook Messenger、WP Live Chat Support、Yuzo、Visual CSS Style Editor、Form Lightbox、Hybrid Composer及所有NickDark等WordPress插件。

研究人员分析,有别于前一波攻击,这次黑客意借由注入JavaScript,以便最终在目标WordPress网站注入后门程序。基本上,恶意的JavaScript采取守株待兔的策略,它执行一个函数检测每个登录网站的人,是否有创建新用户帐号的权限,即是否为管理员。如果碰上管理员登录网站,这个程序代码即以wpservices为名创建非法管理员帐号,最后通过该帐号安装后门程序,或在网站上窃取财务或数据等其他恶意行动。

Wordfence曾在8月初通知Rackspace处理该可疑网站,不过后者并未回应。针对用户,安全公司建议Wordpress用户如果使用到上述插件,应前往厂商网站下载更新版,此外管理员也应检查网站是否有非法帐号及后门程序。