IT業界資訊媒體

【阻人搵食】WordPress插件 藏惡意程式 借用家發動 DDoS 攻擊

WordPress 係好多人都會選用嘅網頁平台,貪佢有海量嘅插件,俾用家提升網站嘅功能,例如提供 SEO 建議,又或購買各種主題整靚網站。多用家自然有商機,引嚟唔少產品供應商推出 WordPress插件 推出各種應用。最近就有一個開發者 blogger,發現其中一個 WordPress 主題供應商 pipdig 嘅插件內藏惡意程式,只要有 WordPress 用家安裝插件,就會被操控向另一個 WordPress 主題供應商 Kotryna Bass Design 發動 DDos 攻擊,阻礙對方做生意,好陰濕。
WordPress插件 七宗罪
今次嘅 WordPress插件 保安事故,係由一個開發者 Jem Turner 收到客戶嘅求助,指自己喺 WordPress 嘅網站突然變慢而發現。需知道網站執行速度非常影響 SEO (Search Engine Optimization),可以嚴重影響網站嘅搜尋引擎上嘅曝光度。經 Jem Turner 仔細調查後,佢終於發現原來喺客戶安裝嘅 pipdig Power Pack 插件之中藏有惡意程式。 WordPress 用家安裝後,惡意程式會執行一系列嘅動作:
1. 透過用家嘅伺服器發動 DDoS 攻擊
2. 改動用家網站嘅內容,改變連結指向 pipdig 網站
3. 違反 GDPR 條件,未得用家答應而喺網站採集資料
4. 利用採集資料登入網站,改變管理者密碼
5. 可隨意刪除網站資料
6. 可隨意停用 pipdig 認為不需要嘅插件
7. 隱藏 WordPress 或其他插件服務發出嘅訊息
由於 pipdig 嘅 WordPress插件 會強制用家嘅伺服器發動 DDoS 攻擊,所以 Jem 客戶嘅網站先會變慢,而同樣提供 WordPress 插件 嘅 Kotryna Bass Design,就因為呢啲攻擊而令網站難以運作。據知現時 pipdig 嘅新插件已經無咗呢啲惡意程式,但建議大家如果之前有裝過 pipdig 嘅主題插件,建議快啲為網站備份,然後再刪除 pipdig 嘅主題同插件保平安。
資料來源:https://bit.ly/2UfMTjl

Privacy Preference Center