Плагин SI CAPTCHA Anti-Spam был удален из каталога WordPress вследствие того, что его автор включил спам-код. Плагин добавлял CAPTCHA-изображение к формам WordPress с целью предотвращения спама и был совместим с формами, сгенерированными bbPress, BuddyPress, Jetpack и WooCommerce. На время удаления плагин был установлен на 300 000 сайтов.
Майк Чаллис, автор плагина, отметил, что пользователь fastsecure стал новым владельцем плагина в SI CAPTCHA Anti-Spam в июне 2017. Чаллис не знал о планах нового владельца плагина, но опубликовал уведомление на форумах поддержки WordPress.org для информирования пользователей о том, почему плагин был удален.
«Новый владелец попытался поместить вредоносный код в несколько недавно приобретенных плагинов WordPress. Плагины должны были подключаться к стороннему серверу, который принадлежал новому владельцу, и публиковать спам-объявления о выплате кредитов и т.д. в записях WordPress», – отметил Чаллис. Он также связал этот инцидент с теми случаями, которые уже были раскрыты исследователями из Wordfence. По словам экспертов, эти случаи были частью скоординированной спам-кампании. Display Widgets, один из самых примечательных плагинов в этой группе, недавно был удален из каталога WordPress.org за серию нарушений с вводом вредоносного кода.
Чаллис отметил, что новый владелец не смог опубликовать спам на сайтах из-за особенностей написания кода, однако код мог быть активирован позже:
«Новый владелец поместил спам-код в версии 3.0.1 и 3.0.2, но не смог отобразить какой-либо спам, потому что он поместил код в файл secureimage.php. Для выполнения вредоносного кода нужна была загрузка библиотек WordPress. Причина, по которой спам-код ничего не сделал, заключалась в том, что файл secureimage.php не включен в среду выполнения WordPress. Файл secureimage.php подключался из другого файла securimage_show.php, который загружал captcha изображение из img src за пределами среды WordPress. Спам-код в плагине не был активирован, он не сможет повредить ваши записи или что-либо изменить в базе данных WordPress».
Пользователи SI CAPTCHA Anti-Spam, у которых до сих пор установлен плагин, могут видеть обновление, доступное в панели администратора WordPress. Участник команды плагинов Сэмюэль (Отто) Вуд удалил вредоносный код и выпустил версию 3.0.3, которая является безопасным обновлением для пользователей, желающих работать с этим плагином. Вуд рекомендует пользователям найти альтернативу, поскольку SI CAPTCHA Anti-Spam уже не появится в каталоге и не получит каких-либо будущих обновлений.
Этот инцидент является еще одним напоминанием для пользователей о том, что необходимо быть очень бдительным, когда плагин WordPress.org меняет владельца, поскольку покупатели не всегда раскрывают фактически намерения по поводу своего приобретения. Пользователи, которым нужна альтернатива SI CAPTCHA Anti-Spam, могут воспользоваться AntiSpam by CleanTalk, Simple Google reCAPTCHA и CAPTCHA Code.
Источник: wptavern.com