Плагин SI CAPTCHA Anti-Spam удален из каталога WordPress.org

Плагин SI CAPTCHA Anti-Spam был удален из каталога WordPress вследствие того, что его автор включил спам-код. Плагин добавлял CAPTCHA-изображение к формам WordPress с целью предотвращения спама и был совместим с формами, сгенерированными bbPress, BuddyPress, Jetpack и WooCommerce. На время удаления плагин был установлен на 300 000 сайтов.

Майк Чаллис, автор плагина, отметил, что пользователь fastsecure стал новым владельцем плагина в SI CAPTCHA Anti-Spam в июне 2017. Чаллис не знал о планах нового владельца плагина, но опубликовал уведомление на форумах поддержки WordPress.org для информирования пользователей о том, почему плагин был удален.

«Новый владелец попытался поместить вредоносный код в несколько недавно приобретенных плагинов WordPress. Плагины должны были подключаться к стороннему серверу, который принадлежал новому владельцу, и публиковать спам-объявления о выплате кредитов и т.д. в записях WordPress», – отметил Чаллис. Он также связал этот инцидент с теми случаями, которые уже были раскрыты исследователями из Wordfence. По словам экспертов, эти случаи были частью скоординированной спам-кампании. Display Widgets, один из самых примечательных плагинов в этой группе, недавно был удален из каталога WordPress.org за серию нарушений с вводом вредоносного кода.

Чаллис отметил, что новый владелец не смог опубликовать спам на сайтах из-за особенностей написания кода, однако код мог быть активирован позже:

«Новый владелец поместил спам-код в версии 3.0.1 и 3.0.2, но не смог отобразить какой-либо спам, потому что он поместил код в файл secureimage.php. Для выполнения вредоносного кода нужна была загрузка библиотек WordPress. Причина, по которой спам-код ничего не сделал, заключалась в том, что файл secureimage.php не включен в среду выполнения WordPress. Файл secureimage.php подключался из другого файла securimage_show.php, который загружал captcha  изображение из img src за пределами среды WordPress. Спам-код в плагине не был активирован, он не сможет повредить ваши записи или что-либо изменить в базе данных WordPress».

Пользователи SI CAPTCHA Anti-Spam, у которых до сих пор установлен плагин, могут видеть обновление, доступное в панели администратора WordPress. Участник команды плагинов Сэмюэль (Отто) Вуд удалил вредоносный код и выпустил версию 3.0.3, которая является безопасным обновлением для пользователей, желающих работать с этим плагином. Вуд рекомендует пользователям найти альтернативу, поскольку SI CAPTCHA Anti-Spam уже не появится в каталоге и не получит каких-либо будущих обновлений.

Этот инцидент является еще одним напоминанием для пользователей о том, что необходимо быть очень бдительным, когда плагин WordPress.org меняет владельца, поскольку покупатели не всегда раскрывают фактически намерения по поводу своего приобретения. Пользователи, которым нужна альтернатива SI CAPTCHA Anti-Spam, могут воспользоваться AntiSpam by CleanTalk, Simple Google reCAPTCHA и CAPTCHA Code.

Источник: wptavern.com

Сохранено из oddstyle.ru

Добавить комментарий

%d такие блоггеры, как: