Gyakran hallod tőlünk: „Frissíts mindent azonnal, hogy biztonságban legyél!” De mi történik akkor, ha magát a fejlesztőt és a bővítményt vásárolják meg a bűnözők, hogy egy hátsó kaput (backdoort) rejtsenek a kódba? Ez a WordPress történetének egyik legkifinomultabb „ellátási lánc” (supply chain) támadása.
A bizalom mint fegyver
A biztonsági szakértők (köztük a Wordfence és a Sucuri) egy döbbenetes hálózatra bukkantak: egy brit „üzletemberhez”, Mason Soizához köthető csoport szisztematikusan felvásárolt több tucat népszerű, de elhanyagolt WordPress bővítményt. A céljuk nem a szoftverek javítása volt, hanem a bennük rejlő hatalmas felhasználói bázis – több mint 500 000 weboldal – feletti irányítás átvétele.
Amint a tranzakció lezajlott, a bővítmények új verziót kaptak a hivatalos WordPress.org könyvtárban. A gyanútlan tulajdonosok frissítettek, és ezzel önként engedték be a kártékony kódot a szerverükre.
A „Feketelista”: Ezeket a bővítményeket érintette a támadás
Ha az alábbi listában szereplő bővítmények bármelyikét használod, és évek óta nem nyúltál hozzájuk, azonnal vizsgáld felül őket! Sokuk végleg eltűnt a süllyesztőben, míg néhányat (pl. a Simple 301 Redirects-et) azóta megbízható fejlesztők vettek át és tettek ismét biztonságossá.
A Soiza-hálózat által érintett bővítmények:
- Display Widgets (A botrány főszereplője – végleg törölve)
- 404 to 301 (Átirányító plugin)
- WP-Slimstat (Analitikai eszköz)
- XreCAPTCHA (Spam védelem)
- Simple 301 Redirects (SEO segédlet)
- Meks Easy Ads Widget (Hirdetéskezelő)
- Financial Calculator (Pénzügyi számítások)
- Easy Config (Beállítás-kezelő)
- Seamless Sticky Custom Post Types
- Custom Post Type Cleanup
- Fast Page Layout
- My Custom CSS
- No Follow All External Links
- Social Media Follow Buttons Bar
- WordPress Speed Up
- Constant Contact Forms (Csak az érintett verziók)
- Join.me Desktop Sharing
- Newer Post Gas
- Advanced Menu Widget
Hogyan működött a „hátsó kapu”?
A támadók nem látványos rombolásba kezdtek, hanem SEO spammelésre használták a weboldalakat. A kódba rejtett backdoor lehetővé tette számukra a következőket:
- Láthatatlan linkek: A pluginok külső szerverekről töltöttek le kétes (szerencsejáték, gyógyszer) hirdetéseket, amiket csak a Google keresőrobotjainak mutattak meg. A tulajdonos semmit nem látott, miközben az oldala „spam-farmmá” vált a Google szemében.
- Távoli kódfuttatás: Bármilyen parancsot kiadhattak a fertőzött weboldalnak, beleértve új admin felhasználók létrehozását is.
- Adatgyűjtés: Hozzáfértek a látogatók adataihoz és az oldal konfigurációs fájljaihoz.
Hogyan védekezhetsz a „felvásárolt” pluginok ellen?
Ez a támadási forma azért félelmetes, mert a hivatalos WordPress.org tárolót használta trójai falóként. Ennek ellenére vannak intő jelek:
- Hirtelen tulajdonosváltás: Ha egy bővítménynél váratlanul megváltozik a fejlesztő neve (pl. egy magánszemélytől átkerül egy ismeretlen marketingcéghez), legyél gyanakvó.
- Gyanús változásnapló (Changelog): Ha egy frissítés leírása ködös (pl. csak ennyi: „Bug fixes” vagy „Minor update”), miközben a plugin hónapok óta halott volt, várj pár napot a frissítéssel.
- Kevés bővítmény = kisebb kockázat: Minden egyes feltelepített plugin egy újabb potenciális rés a falon. Csak azt tartsd meg, ami nélkülözhetetlen!
- Integritás-ellenőrzés: Használj olyan eszközt, amely figyeli a fájlok módosítását, és jelez, ha a plugin kódja „nem várt” irányba változik.
Ha több weboldalt kezelsz, a manuális ellenőrzés órákat vehet igénybe
A WP Pajzs központi felügyelete azonnal jelzi, ha valamelyik oldaladon elavult vagy kockázatos bővítményt találunk, így még azelőtt léphetsz, hogy a botok megtalálnák a rést.
