Backdoor in drie WordPress-plug-ins ontdekt

Onderzoekers hebben in drie WordPress-plug-ins die op zo’n 90.000 websites actief zijn een backdoor ontdekt die als doel heeft om spamberichten te injecteren, zo laat securitybedrijf Wordfence weten. Het gaat om de plug-ins Duplicate Page and Post, No Follow All External Links en WP No External Links.

De drie plug-ins werden eerder dit jaar door de oorspronkelijke ontwikkelaars aan een andere partij verkocht. Deze partij voegde de backdoor toe waardoor spamberichten konden worden geplaatst op de websites die van de plug-ins gebruikmaken. Het gaat om zogeheten search engine optimization (SEO) spam waarmee wordt geprobeerd om websites hoger in de zoekresultaten van Google te laten komen.

Aan de hand van de gebruikte backdoorcode, ip-adressen en naam van de koper stelt Wordfence dat dezelfde criminele partij verantwoordelijk is voor de backdoor in de drie plug-ins, met als doel het injecteren van SEO-spam op duizenden websites. De partij die voor de plug-ins betaalde is een Brits marketingbedrijf en Wordfence vermoedt dat dit bedrijf de SEO-spam gebruikte om de zoekmachineresultaten van haar klanten te verbeteren. WordPress heeft de drie plug-ins inmiddels van WordPress.org verwijderd waar ze eerst werden aangeboden. Dit heeft echter geen effect op al geïnstalleerde plug-ins en webmasters op wie het betrekking heeft krijgen dan ook het advies de plug-ins te verwijderen.

Bron: Security.nl