WordPress是一款使用PHP语言开发的一个博客平台,用户能够在支持MySQL数据库和PHP的服务器上边架设自己的网站,所以也经常把WordPress当做一个内容管理系统来使用。WordPress有着许多第三方开发的免费模板和插件,也正是因为使用频率很高,所以很多用户都不会特别警惕这些模板和插件是否真的安全。
近日国外安全公司发现了网络犯罪分子的新行动,他们在防垃圾的WordPress插件的源代码中隐藏了PHP后门,将这个工具伪装成安全工具后窃取用户的隐私数据。下载使用这款名为:X-WP-SPAM-SHIELD-PRO的插件后会被后门感染,攻击者就能够在用户网站中创建他自己的管理账号,这样就能够将文件上传到受害者的服务器上,禁用那些原本的安全插件并窃取数据。
目前研究表明,黑客的所有恶意行为都是通过这个插件来施行的,他们利用该插件的PHP后门,来伪装成垃圾邮件防护工具,当用户中招后它会将用户的WordPress版本发送给攻击者,并将服务器中所有WordPress管理用户名单发送给攻击者,自动添加名为“mw01main”的管理员账户,连接上黑客的服务器,只要用户安装了这个插件后黑客就能得到受害者的服务器数据,例如用户、密码、网址以及服务器IP地址等。
据悉,这款插件其实并不是WordPress官方插件库中的,而是别处下载来源处下载使用的,实际上就是网络犯罪分子设下的陷阱。有关专家建议各位WordPress用户,安装插件时请安装官方插件库中的插件,以保证安全性。