762
WordPress主題後門嚴重威脅網站安全
作者:田民 赤鶯
WordPress是國內站長非常喜歡采用的一款建站應用軟件,由於其具有非常豐富的模版和插件,具有良好的可擴展性。特別對於博客類網站,WordPress幾乎成為建站首選。
在阿裏雲安全團隊的日常運營中,我們發現,WordPress一直是黑客攻擊的主要目標。下圖是阿裏雲雲盾安全運營團隊對第三方應用遭受攻擊的統計(Source:第27期阿裏雲雲盾安全運營報告,https://security.aliyun.com/doc/view/13762631.html):
圖1 WordPress是攻擊者最主要的攻擊目標之一
從上圖來看,WordPress是攻擊者最主要的攻擊目標應用之一。這很大程度上在於WordPress應用在建站中的大量采用,以及不斷暴露出來的安全隱患。
WordPress存在安全隱患的原因主要在於兩個方麵:一方麵由於應用功能的豐富,程序越來越複雜,WordPress屢暴漏洞在所難免;另一方麵提供WordPress主題和插件下載的網站五花八門、魚龍混雜。很多黑客恰恰利用了這個現狀,通過各種提供WordPress建站資源下載的網站散布帶有惡意腳本的插件。事實上,上述兩方麵原因中後者的安全隱患更大。對於一個渴望找到建站資源的網站站長,在下載插件程序時,往往疏於防護,對提供下載資源的來源網站不加選擇。
雲盾安全技術團隊在不久前截獲了一個帶有後門的WordPress程序。這個後門程序存在於WordPress一個叫做“KnowHow”的主題插件中。在這個插件裏,我們發現如下代碼:
圖2: WordPress主題程序中的後門
紅圈內的代碼,很顯然,就是後門。攻擊者利用這個後門可以進一步獲得網站的控製權。
經過雲盾安全技術人員進一步調查,KnowHow是一款非常流行的WordPress主題。KowHow主題是收費的,價格為48美金。為了明確問題的根源,技術人員決定從確定被植入後門的程序來源入手。
我們聯係了用戶。和用戶溝通後證實,該用戶並非購買的正版主題,而是從國內某偏僻站點下載。與此同時,我們從官方渠道下載了一份同版本的主題程序,兩者進行了比較。結果證實官方版本中並沒有相對應的後門代碼。因此,用戶下載的程序顯然是被人惡意修改後發布的版本。
我們並沒有到此止步。雲盾安全技術人員接下來經過搜索和對比, 發現大量國內此主題的下載文件中被人嵌入了類似的後門。
在明確了後門問題的原因後,雲盾安全運營團隊立刻對阿裏雲全網用戶進行了掃描,並在第一時間通知了存在類似安全隱患的阿裏雲用戶。
最後,對於WordPress KnowHow主題後門,阿裏雲雲盾安全運營團隊提出如下建議:
第一,請已下載並安裝Knowhow主題的站長盡快檢查自己的網站服務器,找到 /wp-content/themes/knowhow/functions.php文件,對比上文檢查是否存在惡意代碼。後門特征一般含有eval字符;
第二,從官方或具有良好信譽的網站下載插件,不要隨意下載/添加不明站點的代碼;
第三,請購買正版軟件。
最後更新:2017-04-03 05:40:12