Внимание! Поддельный WordPress-плагин

Исследователи обнаружили поддельный плагин для  WordPress, который имитирует легитимный плагин WordPress SEO Tools для поиска и SEO-оптимизации.

Обнаруженный вредоносный плагин имеете название WP-Base-SEO, который для убедительности снабжен ссылками на официальную базу плагинов для популярной CMS и ссылку на техническую документацию. Однако исследователей насторожил тот факт, что псевдоплагин имеет в своем арсенале зашифрованный по base64 вызова php-функции eval().

Благодаря этой функции можно с легкостью выполнить произвольный PHP код, при помощи одной строки, чем очень часто пользуются киберпреступники.  Исследователи пояснили работу планина:

«директория WP-Base-SEO содержит два файла. Один из них, wp-sep.php, оперирует разными именами функций и переменных в зависимости от инсталляции. Второй файл, wp-seo-main.php, вкладывает вызов eval() в заголовок темы сайта, используя нативную функциональность перехвата событий в WordPress (add_action). Некоторые версии WordPress используют также дополнительный хук after_setup_theme, который срабатывает после каждой загрузки страницы. В результате вызов eval() будет происходить каждый раз при загрузке темы в браузер.»

Стоит отметить, несмотря на то, что при помощи этого поддельного плагина были скомпрометированы множество сайтов, Google-поиск по имени вредоносного плагина никакой информации пока не дает. Это обусловлено тем, что, скорее всего  WP-Base-SEO пока не попал на радары антивирусных сканеров.

Специалисты ИБ рекомендуют, администраторам, чьи сайты используют WordPress, проверить CMS на наличие вредоносной активности и наличие этого плагина. Так же стоит обратить внимание на все темы и плагины. Если вы обнаружите подозрительные названия в директории wp-content/plugins, исследователи советуют, удалить папку целиком и реинсталлировать чистую версию плагина через панель администрирования или загрузкой с сайта WordPress.org.