7月初,據安全公司Sucuri研究報告顯示,下載量超過170萬次的WordPress插件MailPoet被曝存在安全隱患,可能導致網站更容易被黑客劫持,據其表示,被黑網站仍在增多!
據悉,這個惡意程序是利用MailPoet漏洞作為入口注入惡意PHP程序,因此不僅開啟MailPoet的網站會被感染,只要安裝WordPress的網站無論該插件開啟與否都會被感染。
據官方表示,現已出現大規模由MailPoet漏洞導致的攻擊情況,估計可能高達數萬個網站將受害。
Sucuri創始人Daniel Cid指出,數周前該公司發現WordPress插件程序MailPoet有一嚴重漏洞,可能被黑客利用,導致網站被注入惡意PHP代碼,或植入惡意程序、置換網頁、濫發垃圾郵件等等。且已發現有大量WordPress網站遭惡意程序感染。惡意程序鎖定網站上舊版或密碼防護太弱的MailPoet程序,並意圖注入垃圾郵件。
研究人員指出,這個PHP注入程序最棘手的地方在於它會建立一個1001001的管理員使用者,還會在所有的主題和核心文件注入後門程序。最麻煩的地方在於,它還會覆寫所有正常的文件,因此若沒有干淨的備份,還難復原網站。
Daniel Cid表示,如果網站出現諸如“Parse error: syntax error, unexpected “)” in … /wp-config.php on line 91.”的錯誤信息,則網站很可能被黑掉了。
Sucuri於7月中旬開始發現的被黑網站激增,實際被黑網站的數量應該更多,該漏洞出現於2.6.7版之前的MailPoet。在得知漏洞攻擊事件之後,MailPoet也在七月初發布2.6.8版本,而目前MailPoet發布的最新版本則是2.6.9版。安全研究人員及MailPoet建議使用者立即更新到最新版。
研究人員指出,這個惡意程序是利用MailPoet漏洞作為入口,因此不只有開啟MailPoet的網站才會被感染,只要有安裝WordPress的網站,不論該插件是否啟用都會被感染,而且只要服務器上有共同帳號的網站鄰居有MailPoet也可能受害。
Cid指出,MailPoet為WordPress上相當常見的電子郵件(newsletter)插件程序,下載率高達將近200萬次,因此涉及網站可能會非常廣泛。Ars Technica估計有3萬到5萬的網站有被感染的風險。