برخی افزونههای وردپرس به دلیل جاسوسی حذف شد
تیم امنیت وردپرس به تازگی سه افزونه را به طور کلی از بخش افزونههای وبسایتهای خود حذف کرده است.
دلیل این عمل، کشف در پشتی در کدهای این افزونهها ذکر شده است.
نام این افزونهها را در جدول زیر مشاهده میکنید؛ در بررسیهای صورت گرفته مشخص شده است که کد در پشتی موجود در هر سه افزونه بسیار مشابه هم است و در نهایت یک کار خاص و واحد انجام میدهند.
ابتدا خود را به یک آدرس مشخص متصل میکنند و محتوای مورد نظر نفوذگر را در آدرسهای سایت آلوده شده تزریق میکنند؛ کارشناسان امنیت بر این باور هستند که در پشتی برای تزریق کدهای مخرب پنهان در صفحات HTML (لینک مخفی) در سایتهای آلوده شده برای بهبود رتبهبندی موتورهای جستجو (SEO) استفاده شده است.
کارشناسان Wordfence معتقدند که احتمالا آلودهسازی این افزونهها توسط یک نفر (یا تیم) انجام شده و دلایل آن براساس گزارش ماهر به شرح زیر است:
1. کد در پشتی افزونه اول و سوم به دو دامنه متفاوت که به یک سرور متصل شدهاند دادهها را ارسال میکنند.
2. شرکت فروشنده افزونههای اول و دوم مشابه است.
3. درخواست خرید از طریق ایمیل که به صاحبان افزونههای دوم و سوم فرستاده میشود دارای یک الگوی مشابه است.
ان تمام افزونهها توسط کاربران تازه ایجاد شده در wordpress.org قرار داده شدهاند.
5. کد در پشتی هر سه افزونه شباهت ساختاری زیادی داشته است.
این نخستین بار نیست که تیم وردپرس اقدام به اجرای یک عملیات بزرگ برای کشف افزونههای قدیمی دارای آسیبپذیری میکند؛ موارد بسیاری تا الان گزارش شده است که بسیاری از شرکتهای فعال در ضمینه SEO و Backlink اقدام به خرید افزونههای قدیمی کرده و از آنها برای تزریق کدهای HTML افزایش بازدید استفاده میکنند.
پیش از این نیز تیم Wordfence گزارشی درباره فرد بریتانیایی به نام Mason Soiza منتشر کرد که اقدام به خرید و درج در پشتی در پلاگینهای معروفی مانند Captcha، Display Widgets و 404 to 301 کرده است.