Исследователи обнаружили бэкдор в «школьном» плагине WordPress

Исследователи заявили в пятницу, что обнаружили вредоносный бэкдор в плагине WordPress, который давал злоумышленникам полный контроль над веб-сайтами, использующими пакет, предназначенный для школ.
Исследователи обнаружили бэкдор в «школьном» плагине WordPress

Исследователи обнаружили бэкдор в «школьном» плагине WordPress. Фото: Pixabay

Премиум-версия плагина School Management, которую школы используют для работы и управления своими веб-сайтами, содержит бэкдор как минимум с версии 8.9, сообщили исследователи службы безопасности веб-сайтов Jetpack в своем блоге. Они также не исключают, что он присутствовал в более ранних версиях. Версия 8.9 была выпущена в августе прошлого года.

Исследователи Jetpack заявили, что обнаружили бэкдор после того, как сотрудники службы поддержки WordPress.com сообщили об обнаружении сильно запутанного кода на нескольких сайтах, использующих School Management Pro. После деобфускации они поняли, что код, спрятанный в части проверки лицензии плагина, был намеренно помещен туда с целью дать посторонним возможность получить контроль над сайтами.

Из сообщения Jetpack:

«Сам код не так уж и интересен: это очевидный бэкдор, внедренный в код проверки лицензии плагина. Это позволяет любому злоумышленнику выполнить произвольный PHP-код на сайте с установленным плагином».

Попытки связаться с разработчиком плагина не увенчались успехом. Исследователи призывают немедленно обновить или отказаться от использования этого ПО. 

Из сообщения Jetpack:

«Даже после исправления пользователи должны тщательно сканировать свой сайт на наличие признаков компрометации, поскольку обновление не удалит какие-либо новые бэкдоры, которые могли быть добавлены».

Startpack подготовил перечень антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Это тeк ст каталога startpack.ru. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

Упомянутый сервис

WordPress Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.
Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.

Больше интересного

Актуальное

Впервые в мире нейросеть от Сбера написала сборник рассказов вместе с писателем Павлом Пепперштейном
Пакеты с открытым исходным кодом с миллионами установок взломаны для сбора учетных данных AWS
Microsoft исправила ​​одну из самых раздражающих функций Microsoft Edge
Ещё…