Do niesamowicie niebezpiecznego ataku doszło w wyniku sprzedaży popularnej wtyczki dla Wordpressa - Display Widgets. Dodatek do popularnego CMS-a blogowego stworzyła Stephanie Wells, która wkrótce zainteresowała się bardziej wersją premium wtyczki, przez co zdecydowała się sprzedać open-source'ową iterację innemu deweloperowi.
Wkrótce okazało się, że użytkownicy zaczęli zgłaszać problemy z owym pluginem. W miesiąc po tym, jak doszło do przejęcia wtyczki pojawiła się jego nowa wersja, jeszcze nie zawierająca w sobie złośliwego kodu. Jednak następna wykazywała już niebezpieczne zachowania, na które zwrócił uwagę David Law, autor konkurencyjnej wtyczki opierającej się na podobnej zasadzie. Według niego, Display Widgets naruszało warunki tworzenia oraz dystrybuowania pluginów poprzez pobieranie 38 MB nieznanych danych z zewnętrznego serwera. Mało tego, Display Widgets ponadto wysyłał dane na inny serwer w internecie, co mogło wskazywać na jego złośliwe działanie. Po tych doniesieniach, ekipa Wordpress.org zdecydowała się na zdjęcie pakietu z repozytorium.
Drugi i trzeci przypadek zdjęcia pluginu z bazy Wordpressa miało związek z ukryciem mechanizmów służących do śledzenia ruchu na stronach, a nawet umieszczania nowych wpisów. Szacuje się, że około 20 000 stron w internecie mogło zostać zaatakowanych przez niebezpieczne działanie tej wtyczki - niedokonanie aktualizacji w tym przypadku mogło uchronić wielu webmasterów przez uruchomieniem złośliwych mechanizmów zawartych w Display Widgets.
I wygląda na to, że zostało to zrobione na dobre. W trakcie śledztwa prowadzonego równolegle przez kilka zainteresowanych tematem osób okazało się, że nowy właściciel wtyczki jest związany z usługą WP Devs. Według ich strony internetowej, skupują oni i rozwijają wtyczki dla Wordpressa (szczególnie te starsze oraz porzucone). Firma ma być prowadzona przez dwie osoby - jedną z USA i drugą z Rosji.
Społeczność skupioną wokół Wordpressa mocno zainteresowało to, dlaczego w ogóle doszło do sytuacji, w której 4 razy usuwaną tę samą wtyczkę - mimo faktu, że już wcześniej wykazywała ona złośliwe działanie. Linia obrony Wordpressa jest całkiem oczywista - w tworzeniu społeczności biorą udział ochotnicy, którzy nie mają narzuconych specjalnych procedur. Okazuje się jednak, że jeden z moderatorów zamknął jedno zgłoszenie Davida Lawa (twórcy konkurencyjnej wtyczki) tylko dlatego, że ten był powiązany z podobnym produktem. Moderator, który prawdopodobnie nie miał pojęcia o tym, z jak niebezpieczną sytuacją miał do czynienia postanowił odesłać zgłaszającego problem do supportu twórcy wtyczki niż samemu podjąć działanie. Moderator zaznaczył przy okazji, że działanie Lawa miało związek z "konkurencją", co jest oczywiście niedorzeczne.
Sprawdźcie zatem, czy wtyczka Display Widgets jest obecna w Waszej stronie na Wordpressie. Jeżeli tak - jak najszybciej ją odinstalujcie.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
