Много вредоносных программ, маскируясь под известные плагины, используют их для того, чтобы иметь доступ к сайтам. Чаще всего для этого используется Joomla. Но недавно команда SiteLock обнаружили поддельные плагины для WordPress, одной из самых крупных интернет-приложений.

Название плагина WP-Base-SEO, он используется для поисковой оптимизации WordPress SEO Tools. Этот плагин был обнаружен в директории /wp-content/plugins/wp-base-seo/wp-seo-main.php. На первый взгляд он не предоставляет вреда, есть ссылки на базы данных и нужную документацию. Но если присмотреться, то оказывается, что идет запрос с кодировкой base64 PHP Eval. Eval достаточно известная функция, выполняет произвольный PHP код, который часто используют в преступных целях и php.net не рекомендуют использовать ее, чтобы обезопасить свой контент.

Существуют два файла в директории плагина wp-base-seo — wp-seo.php, который содержит в себе wp-сео-main.php. И вот именно он использует разные имена и функции, в зависимости от инсталляционных данных, таких как wpseotools_on_activate_blog вместо base_wpseo_on_activate_blog, и wp_base вместо base_wp_base.

Файл сор-сео-main.php использует «родной» функционал WordPress, для того чтобы прикрепить запрос Eval к сайту. Некоторые версии содержат дополнительный запрос, который работает после каждой загрузки страницы. То есть, как только сайт загружается в браузере, запрос инициализируется.

При поисках поддельных плагинов доступно очень мало какой-либо информации. Поиск в интернете вообще не дал никакого результата, хотя пара сайтов были заражены вредоносным плагином. Это означает, что данное вредоносное программное обеспечение практически «невидимое» для поисковиков.

По результатам поиска видно, что плагин маскируется под антивирусник. Это говорит о том, что следует усилить безопасность многих приложений, и «прощупать» программы, которые могут быть уязвимы для лжеплагинов.

Рекомендуется чаще сканировать и удалять вредоносные программы, обновлять WordPress и все теми и плагины, которые связаны с WordPress до актуальных версий. Ну и, конечно же, использование надежных паролей также могут уберечь контент от его «взлома». Если все же обнаружили что-то подозрительное в контенте, то лучше удалить всю папку и переустановить новую версию, или же загрузить его прямо с WordPress.org.