Плагин SI CAPTCHA Anti-Spam удален из каталога WordPress.org

Плагин SI CAPTCHA Anti-Spam был удален из каталога WordPress вследствие того, что его автор включил спам-код. Плагин добавлял CAPTCHA-изображение к формам WordPress с целью предотвращения спама и был совместим с формами, сгенерированными bbPress, BuddyPress, Jetpack и WooCommerce. На время удаления плагин был установлен на 300 000 сайтов.

Майк Чаллис, автор плагина, отметил, что пользователь fastsecure стал новым владельцем плагина в SI CAPTCHA Anti-Spam в июне 2017. Чаллис не знал о планах нового владельца плагина, но опубликовал уведомление на форумах поддержки WordPress.org для информирования пользователей о том, почему плагин был удален.

«Новый владелец попытался поместить вредоносный код в несколько недавно приобретенных плагинов WordPress. Плагины должны были подключаться к стороннему серверу, который принадлежал новому владельцу, и публиковать спам-объявления о выплате кредитов и т.д. в записях WordPress», — отметил Чаллис. Он также связал этот инцидент с теми случаями, которые уже были раскрыты исследователями из Wordfence. По словам экспертов, эти случаи были частью скоординированной спам-кампании. Display Widgets, один из самых примечательных плагинов в этой группе, недавно был удален из каталога WordPress.org за серию нарушений с вводом вредоносного кода.

Чаллис отметил, что новый владелец не смог опубликовать спам на сайтах из-за особенностей написания кода, однако код мог быть активирован позже:

«Новый владелец поместил спам-код в версии 3.0.1 и 3.0.2, но не смог отобразить какой-либо спам, потому что он поместил код в файл secureimage.php. Для выполнения вредоносного кода нужна была загрузка библиотек WordPress. Причина, по которой спам-код ничего не сделал, заключалась в том, что файл secureimage.php не включен в среду выполнения WordPress. Файл secureimage.php подключался из другого файла securimage_show.php, который загружал captcha  изображение из img src за пределами среды WordPress. Спам-код в плагине не был активирован, он не сможет повредить ваши записи или что-либо изменить в базе данных WordPress».

Пользователи SI CAPTCHA Anti-Spam, у которых до сих пор установлен плагин, могут видеть обновление, доступное в панели администратора WordPress. Участник команды плагинов Сэмюэль (Отто) Вуд удалил вредоносный код и выпустил версию 3.0.3, которая является безопасным обновлением для пользователей, желающих работать с этим плагином. Вуд рекомендует пользователям найти альтернативу, поскольку SI CAPTCHA Anti-Spam уже не появится в каталоге и не получит каких-либо будущих обновлений.

Этот инцидент является еще одним напоминанием для пользователей о том, что необходимо быть очень бдительным, когда плагин WordPress.org меняет владельца, поскольку покупатели не всегда раскрывают фактически намерения по поводу своего приобретения. Пользователи, которым нужна альтернатива SI CAPTCHA Anti-Spam, могут воспользоваться AntiSpam by CleanTalk, Simple Google reCAPTCHA и CAPTCHA Code.

Источник: wptavern.com

Блог про WordPress
Комментарии: 3
  1. Александр

    Никому верить нельзя! Не удивлюсь если в каких нибудь плагинах для ВП встроен майнер для биткоинов.

  2. Otshelnik-Fm

    Дмитрий, а вот смотрите — как тяжело приходится простому люду:
    Ведь мало просто поставить плагин и вовремя его обновлять — такие выходки призывают следить — а кто же автор плагина? А не продал ли он его и весь свой бизнес с плагинами еще кому-то? А если продал — то хватит ли у того, кто простой пользователь плагина, сил и знаний на анализ плагина после обновлений?

    Тяжелое время настает — и думаю такие новости только дадут идею другим нечистивым людям перенять подобный бизнес по скупке плагинов и встраиванию вредоносов и спама.

    В общем звоночек тревожный — плагины с вредоносами сменившие владельца пришли, ждем подобного на обновления ВП шаблонов.
    А это попытка подорвать доверие к экосистеме вордпресс в целом. Модераторы же не осилят каждое обновление, любого плагина и темы чекать. Это на первом принятии у них строго — потом уже если кто пожалуется (если заметят)

    1. Дмитрий (автор)

      Думаю, что надо обязать владельцев плагинов уведомлять команду плагинов WP о продаже своего решения другим лицам. Чтобы к таким решениям в дальнейшем было повышенное внимание.

Добавить комментарий для Otshelnik-Fm Отменить ответ

Получать новые комментарии по электронной почте.