Популярен плъгин за WordPress с над 200 000 инсталации е помещавал скрита функционалност, действаща, като бекдор. Кодът в Display Widgets, името на въпросния плъгин, е бил вграден преди повече от два месеца – между версия 2.6.1 (пуснат в края на юни) и версия 2.6.3 (появила се в началото на този месец), предава Bleeping Computer.

След доклад за зловредната дейност на плъгина, екипът на WordPress.org са го премахнали от магазина на платформата. Любопитен момент е, че плъгина вече е бил премахван три пъти досега след сходни нарушения. Към момента на премахването му, Display Widgets е бил инсталиран на повече от 200 000 сайта, макар и да не е известно колко от тях са ползвали версии със споменатата скрита характеристика.

Оригиналният Display Widgets е плъгин за WordPress, който служи на собствениците на интернет ресурси, изградени на основата популярния CMS, да контролират кои уиджети да се появяват на страниците им, как да се представят и кога. Разработчикът на плъгина – Стефани Уелс – решава след време да продаде откритата версия на плъгина и да започне да поддържа единствено премиумна негова версия, което става през май. Новият му собственик пуска в края на юни нова версия – 2.6.0. Скоро след това, разработчик на конкурентно приложение – Display Widgets SEO Plus – алармира хората от WordPress.org, че Display Widgets нарушава политиките на платформата, сваляйки допълнително данни от външен сървър. Този допълнителен код, твърди въпросният разработчик, събира различен тип информация, като интернет адреси, потребителски агенти, домейните, от които се събира информацията и страницата, разглеждана от потребителя, изпращайки данните към команден сървър. След доклади и на други потребители, администриращите плъгин хранилището на WP решават да премахнат плъгина. В началото на юли, новият автор на плъгина успява да убеди хората от WordPress, че е направил нужните промени, които в този случай се изразявали в това, че вместо да сваля допълнителен код от външен сайт, нелигитимната му функционалност вече просто била вградена в плъгина. Дейвид Лоу, човекът, забелязал зловредната функционалност на Display Widgets, отново алармира хората от WP за скритата му характеристика и плъгина е премахнат за втори път. Последва нова версия и ново качване на плъгина. И ново негово премахване, след като негов потребител, че създава страници със спам линкове, като скрива тези страници от администраторите на сайтовете, в които създава тези скрити страници. В началото на този месец, WordPress. org позволява новата му поява, за да го премахне за четвърти път след пореден доклад, че вмъква спам линкове по страниците на сайтовете, на които е инсталиран.

Нееднократната поява на плъгина породи критика от специалисти, запознати със случая, но изпълнителният директор на една от компаниите, включили се в разследването на случая, Марк Мондър от Wordfence, защити администраторите на WP плъгин хранилището, припомняйки, че в основата това са доброволци, които оказват безвъзмездно своята помощ.

ДОБАВИ КОМЕНТАР

5 коментара за "Откриха бекдор в популярен WordPress плъгин"

Извести ме за
avatar
Сортиране по:   най-нови | най-стари | най-висока оценка
азззз
азззз

Разбит е още един мит за опънатия сорс!
Та, нали как беше…. “опънатия сорс е много сигурен, щото всеки има достъп до кода и общността непрекъснато го следи”…. и в следващия момент –
“въпроснияТ плъгин, е бил вграден преди повече от два месеца”

fox4o
fox4o

Умник, ако не беше отворен кода, как щяха да я открият тази вратичка?

Астра
Астра

Когато е отворен код, отговорността си я поема ползвателя. Докато при затвореният код всяко странично ‘действие’ неописано в характеристиките на продукта са за сметка на собственика на кода. И при различни лицензионни споразуюения той носи отговорност при щети.

Коментар
Коментар

ако беше така, до сега микромеките да са фалирали 😀
Поуката е по-скоро да не се ползват плъгини на сляпо..

Коментатор
Коментатор

“Популярен плъгин за WordPress с над 200 000 инсталации е помещавал скрита функционалност…” Последно – помещава или съдържа?

wpDiscuz