Af Torben B. Sørensen, 20/09/17
Pluginnen Display Widgets til WordPress er blevet hentet over 200.000 gange. Udvikleren solgte den i juni til en ny ejer, som udsendte version 2.6.0 af den.
En konsulent opdagede, at den nye version hentede programkode fra en ekstern server. Det førte til, at pluginnen blev fjernet fra WordPress' samling af plugins.
Den nye ejer lagde imidlertid en ny version op, 2.6.1. Den gav bagmanden mulighed for at lægge indhold ind på alle websider, der havde installeret pluginnen. Han udnyttede bagdøren til at vise reklamer.
Den inficerede udgave af pluginnen er nu igen fjernet fra WordPress' plugins.
Udvikler David Law har udsendt en version, der er renset for den skadelige kode.
Sikkerhedsfirmaet Wordfence har opdaget, at bagmanden sandsynligvis også stod bag uønskede annoncer, der blev spredt via pluginnen 404 to 301 i august sidste år.
Anbefaling
Brugere af Display Widgets bør opdatere til en renset version af pluginnen.
Links
- Display Widgets Plugin Includes Malicious Code to Publish Spam on WP Sites, blogindlæg fra Wordfence
- The Man Behind Plugin Spam: Mason Soiza, blogindlæg fra Wordfence
- Display Widgets Plus WordPress Plugin, blogindlæg af David Law
- Backdoor Found in WordPress Plugin With More Than 200,000 Installations, artikel fra Bleeping Computer