WordFence的安全專家發(fā)現(xiàn)，一款下載量高達(dá)30萬次的WordPress插件Captcha暗藏了一個后門，允許潛在攻擊者獲得對WordPress網(wǎng)站的管理訪問權(quán)限，而不需要任何身份驗(yàn)證。

Captcha是一款實(shí)用的驗(yàn)證碼插件，可用于加強(qiáng)WordPress網(wǎng)站后臺的登錄安全，最初由插件開發(fā)公司BestWebSoft擁有及維護(hù)。

在今年9月5日，BestWebSoft公司宣布了對于Captcha所有權(quán)的轉(zhuǎn)讓，但在當(dāng)時并未提及這個接手公司的相關(guān)信息。僅在三個月之后，Captcha的新東家就發(fā)布了4.3.7版本，其中便包含了惡意代碼。

安全專家發(fā)現(xiàn)，惡意代碼會觸發(fā)一個自動更新過程。首先，會連接到simplywordpress.net域名下載一個插件更新包（ZIP文件）。然后，更新包會自動執(zhí)行并安裝以覆蓋WordPress網(wǎng)站原本運(yùn)行的Captcha插件。

這個ZIP文件中就包含了一個叫名為“plugin-update.php”的后門文件，它會利用用戶 ID （WordPress首次安裝時創(chuàng)建的默認(rèn)管理員用戶）來創(chuàng)建會話，設(shè)置認(rèn)證 cookie，隨后刪除自己。由于后門安裝代碼并沒有經(jīng)過認(rèn)證，這意味著任何人都可以觸發(fā)它。

WordFence在調(diào)查后發(fā)現(xiàn)，Simplywordpress.net是通過過電子郵箱地址scwellington@hotmail.co.uk注冊的，注冊人名為“Stacy Wellington”。通過使用反向whois查找，WordFence發(fā)現(xiàn)這個用戶還注冊了大量的其他域名。

回到Simplywordpress.net這個域名，除了Captcha之外，它還托管了另外5款插件可供下載：Covert me Popup、Death To Comments、Human Captcha、Smart Recaptcha和Social Exchange。

毫無例外，這5款插件都包含有與Captcha相同的后門安裝代碼。此外，如果使用“site:simplywordpress.net”在谷歌進(jìn)行搜索，還會發(fā)現(xiàn)該域名還提供了更多的插件下載。

目前，WordPress插件團(tuán)隊(duì)已經(jīng)將其從官方WordPress插件庫中刪除，并為受影響的用戶提供了安全版本（Captcha 4.4.5）。WordFence也創(chuàng)建了三條防火墻來保護(hù)用戶的網(wǎng)站免受Captcha的影響，這些規(guī)則能夠阻止Captcha執(zhí)行后門安裝代碼以及其他5款插件通過Simplywordpress.net下載。

此外，WordFence已經(jīng)與WordPress插件團(tuán)隊(duì)合作，對Captcha 4.4.5之前的版本進(jìn)行修復(fù)。