קוד זדוני הושתל בעשרות תבניות ותוספים של וורדפרס
נכתב ב-22 בינואר 2022
נראה ש-2022 נפתחת באותה צורה כמו ש-2021 הסתיימה – עם מתקפות ופריצות לתבניות ותוספי וורדפרס. הדיווח הפעם מגיע מחוקרי האבטחה של Jetpack, שגילו דלת אחורית בעשרות תבניות ותוספים שפותחו על ידי AccessPress. אקסספרס פיתחו כמה תוספים לוורדפרס, בעיקר בתחום הרשתות החברתיות. התוסף הפופולרי ביותר שלהם זכה לכמה עשרות אלפי התקנות. על פי הדיווח של ג'טפאק, הקוד הזדוני התגלה בתוספים ותבניות שמותקנים בכ-360 אלף אתרי וורדפרס פעילים.
הקוד הזדוני הושתל באמצעות קובץ שנקרא initial.php, שהוכנס לתיקייה הראשית של וורדפרס. קובץ זה השתיל קוד מוצפן בקובץ vars.php – קובץ ליבה של וורדפרס שנמצא בתיקיית wp-includes. הקוד מספק לתוקפים שליטה מלאה באתר הנגוע. הדרך היחידה לאתר את הקוד הזדוני היא באמצעות פתרון אבטחה שסורק את הקבצים של האתר ובודק אם נעשו בהם שינויים. הקובץ initial.php נמחק מהשרת לאחר הזרקת הקוד. נראה שהתוקפים השתמשו בקוד כדי להפנות גולשים מהאתר המקורי לאתרים המנסים להתקין וירוסים במחשבי הגולשים, או לאתרי הונאה שונים.
אם אתם משתמשים באחד התוספים או התבניות של AccessPress, מומלץ להסיר אותם מיד, ולבדוק האם הקבצים שלכם נגועים. הקוד הזדוני מושתל בקובץ wp-includes/vars.php, בדרך כלל בשורות 146-158. במידה שבקובץ יש פונקציה בשם wp_is_mobile_fix עם קוד מוצפן – הקובץ נגוע. יש לבצע התקנה נקייה של וורדפרס, שתדרוס את הקבצים הנגועים. על פי ג'טפאק, AccessPress תיקנה חלק מהתוספים הבעייתיים, אולם מאחר שמדובר בתוספים שמספקים פונקציונליות זניחה, אפשר פשוט להסיר אותם.
זהו עוד מקרה שמדגיש את החשיבות של ניהול אתרים מקצועי, במסגרתו יש מי שדואג לשדרוג המערכות, גיבויים ותיקון האתר במקרה של פריצה.
