В плагине для WordPress Display Widgets обнаружен бэкдор

Ранее команда WordPress три раза удаляла плагин в связи с похожими нарушениями.

В течение последних двух с половиной месяцев плагин Display Widgets использовался для внедрения бэкдора на сайты на WordPress. Вредоносный код был обнаружен в версиях Display Widgets 2.6.1 (выпущена 30 июня) и Display Widgets 2.6.3. (вышла 2 сентября). Команда WordPress уже удалила вредоносные версии плагина из официального репозитория. К тому времени плагин уже успели установить более 200 тыс. пользователей. Примечательно, что команда WordPress ранее три раза удаляла плагин в связи с похожими нарушениями.

Плагин Display Widgets позволяет легко и наглядно управлять отображением виджетов на тех или иных страницах или разделах. Оригинальная версия была создана разработчиком Стефани Уэллс (Stephanie Wells), которая впоследствии продала открытую версию плагина другому разработчику.

Согласно данным исследований, проведенных экспертом по безопасности Дэвидом Лоу (David Law), компаниями White Fir Design и Wordfence , в июне нынешнего года новый владелец плагина выпустил версию Display Widgets 2.6.0. Данная версия отслеживала трафик на web-сайтах и передавала информацию на сторонний сервер. В результате команда WordPress.org удалила плагин.

Спустя несколько дней разработчик сумел восстановить плагин и опубликовал в репозитории новую версию Display Widgets 2.6.1 с бэкдором, позволявшим подключаться к удаленным сайтам и создавать новые страницы или публикации. Кроме того, плагин по-прежнему отслеживал траффик. Спустя сутки после публикации в репозитории плагин был удален.

На этом история не закончилась. В начале июля разработчик опубликовал версию 2.6.2, которая, на первый взгляд, не проявляла никакого вредоносного поведения. Спустя некоторое время администрации WordPress.org начали поступать жалобы от пользователей, обвиняющих плагин в создании необнаруживаемых страниц с сомнительными ссылками. Как выяснили исследователи, версия Display Widgets 2.6.2 создавала новые страницы со ссылками на другие ресурсы. Данные страницы и публикации не отображались на административной панели. Более того, плагин скрывал «секретные» страницы от администраторов сайта, их могли увидеть только неавторизованные пользователи. После получения отчета исследователей администрация WordPress.org в третий раз удалила плагин.

Тем не менее 2 сентября создатель Display Widgets опубликовал новую версию плагина — 2.6.3, которая также оказалась вредоносной. 8 сентября команда WordPress удалила плагин, в этот раз, по всей видимости, навсегда.

Эксперты компании Wordfence попытались идентифицировать разработчиков плагина. Как выяснилось, новым владельцем Display Widgets оказалась компания WP Devs. Согласно сообщению на сайте компании, WP Devs занимается покупкой устаревших и более не поддерживаемых плагинов. В настоящее время компания владеет 34 плагинами.

По данным расследования, владельцами WP Devs являются двое человек, один из них находится в США, другой – в России.