WordPress 因拥有丰富的主题模组与外挂,加上操作简单明了,入门门槛较低,受到很多自架网站的人喜爱。不过有优点当然也有顾及不上的时候,开放式平台虽然可让使用更个人化、更多元,难免就会有让人防不胜防的意外情况发生。近日国外安全研究单位发现受欢迎的 WordPress 外挂与开发商 AccessPress 被骇客入侵,悄悄地植入後门,波及采用这些服务的未知数量网站。
AccessPress 遭受骇客攻击,93 款 WordPress 主题和外挂被植入後门
这种从服务供应商进行的攻击并不是透过容易被侵害的软体元件直接危害系统,而是可以破坏网站和网路管理员获取软体的来源。比较知名的案例就是 2020 年的 SolarWinds 攻击,成千上万的美国政府机构与公司正式受到这类型的攻击遭到破坏,在这种情况下,攻击者获得了对高阶机构爱用的网路管理与更新软体 SolarWinds Orion 的超级用户权限,一旦软体来源遭到入侵,任何安装软体或从受感染来源进行更新的网路或网站管理员都会在不知不觉中损害自己的电脑系统。
AccessPress 是一家 WordPress 外挂开发商,在全球超过 36 万个活跃网站中广受使用。WordPress 网站安全和最佳化工具开发商 Jetpack 的研究人员率先发现这次攻击,他们发现在主题和外挂中被添加了一个 PHP 後门,JetPack 发现,一个外部骇客先是攻破了 AccessPress 网站,对其软体进行破坏从而感染到更多的 WordPress 网站上。
一旦管理员在网站上安装受到入侵的 AccessPress 产品,攻击者会在主题的主目录中添加一个名为「initial.php」的文件,并将其纳入主要的「function.php」文件里。在此文件里面包含一个 base64 编码的有效负载,然後将 webshell 写入「./wp-includes/vars.php」文件中。恶意程式码透过解码有效负载并将其注入「vars.php」文件来完成後门的安装,本质上是让恶意人士对受感染的网站进行远端控制。
要想检测这种威胁的唯一方法是使用核心档完整性监控解决方案,因为恶意软体非常狡猾,会以删除「initial.php」档的投放器来掩盖其踪迹,单纯查找程式码的方式难以发现其存在。如果你有直接从 AccessPress Themes 或 WordPress.org 以外的任何地方安装的任何主题或外挂程式,都应立刻升级到本文最下面表格所示的安全版本。如果没有可用的安全版本,请将其替换为 WordPress.org 的最新版本,并且建议可以为网站制定安全规划,包括恶意文件扫描和网站备份等工具。请注意,上面提到的方式并不会从系统中删除後门,因此你必须重新安装 WordPress 的乾净版本,将被安装後门期间核心档修改恢复成乾净的完整状态。
下面笔者整理了受影响的主题清单与外挂程式清单,大家可以检查一下:
★受影响的主题
如果你的网站上安装了以下任何主题,建议你尽快转换到其他主题,目前 AccessPress Themes 尚未提供其中任何更新。
★受影响的外挂
如果你的网站上安装以下任何版本号在「Bad」栏中的外挂程式,我们建议您立即升级到「Clean」栏中的版本。值得注意的是,有些虽然列在「Bad」栏中,如果是透过 WordPress.org 安装,则该外挂程式是乾净的,但为了安全起见,仍然建议升级到已知的乾净版本。
备注1:
因为 AccessPress Themes 网站上的版本较旧,虽该外挂程式尚未更新,但被认为是乾净的。
备注2:
由於最初在 AccessPress Themes 上无法使用,虽该外挂未更新,但仍被视为乾净。