Šta se krije iza ''besplatnih'' premium pluginova za WordPress

Vesti, 31.03.2014, 08:34 AM

Godine provedene na internetu trebalo je da nas nauče da budemo oprezni kada nam se nešto nudi besplatno.

Polazeći od pretpostavke da mnogi ljudi neće platiti softver koji mogu nabaviti besplatno, prevaranti nude “besplatne” verzije WordPress pluginova koji se inače plaćaju. Dobiti besplatno nešto što se inače plaća deluje privlačno, ali u većini slučajeva nećete dobiti ono što ste očekivali.

Uostalom, zapitajte se zašto bi neko trošio vreme da ukrade program i da ga zatim objavi na različitim sajtovima i forumima ako od toga nema nikakvu korist. U većini slučajeva odgovor leži u prikrivenim funkcionalnostima u ukradenom softveru (backdoorovi, reklame, sakriveni linkovi i spam).

Stručnjaci kompanije Sucuri analizirali su “patchovane” pluginove sa nekolicine web sajtova, kao što su wplist.org, wplocker.com i drugi, koji nude besplatne verzije WordPress pluginova koji se plaćaju i otkrili da su neki od pluginova opremljeni malicioznim kodom koji može da omogući autorima preuzimanje kontrole nad WordPress sajtom sa instaliranim pluginom.

Ono što je nateralo istraživače da istraže šta se krije iza ponuda navodno besplatnih verzija premium pluginova je to da je od njih zatraženo da očiste nekoliko inficiranih sajtova klijenata koje je povezivalo to što su svi imali instaliran “besplatni” popularni SEOPressor plugin koji se inače plaća i košta 47 dolara.

Analiza koda plugina je pokazala da plugin omogućava napadaču preuzimanje kontrole nad sajtom jer se u kodu nalaze instrukcije za kreiranje novog WordPress administratorskog naloga sa korisničkim imenom “wordpress” i lozinkom “gh64io9Cjm”.

Kada se instalira, plugin napadaču šalje email da bi ga obavestio o adresi sajta koji je kompromitovan. Tada napadač posećuje sajt i dodaje određene parametre u URL koji mu omogućavaju kreiranje novog administratorskog naloga.

“Napadač sada može da se loguje na WordPress sa administratorskim dozvolama i da uradi šta god želi sa blogom, sa celim sajtom (na primer, da ubaci backdoor u neku temu ili plugin, i da ga iskoristi za otpremanje malicioznih fajlova na server), sa serverskim nalogom (svi sajtovi koji dele isti nalog sada mogu biti lako kompromitovani) i čak i sa celim serverom”, kažu istraživači firme Sucuri.

Ali SEOPressor nije jedini popularni plugin koji može biti zloupotrebljen na ovaj način. Slična funkcionalnost je pronađena i u Restrict Content Pro i Flat Skin Pack Extension. Maliciozni kod se kod njih neznatno razlikuje, ali mu je namena ista - kreirati naloge sa administratorskim privilegijama.

Analiza sajta wplist.org otkrila je da je korisnik koji se potpisuje sa “andrewp” postavio ukupno pet pluginova koji sadrže maliciozni kod: Restrict Content Pro WordPress Plugin V1.5.5, Ideas! V1.1.6, Ultimate Ajax Grid, User Profiles i UberMenu - Flat Skin Pack V1.0.3.

Ali “andrewp” nije jedini koji je postavio maliciozne pluginove na wplist.org. I administrator sajta je tokom februara i marta postavio pet lažnih pluginova: Go - Responsive Pricing & Compare Tables, FormCraft, Custom Scrollbar WordPress, Theia Sticky Sidebar i GravityForms.

Stručnjaci kažu da je ovakva praksa postavljanja pluginova koji sadrže maliciozni kod uobičajena za ovakve sajtove i savetuju korisnicima da se klone piratizovanih pluginova ali i softvera inače.

“Razmislite o tome šta instalirate na svom serveru. Svaki third-party softver koji instalirate može da da uradi mnogo toga sa vašim sajtom, a u nekim slučajevima i sa serverom. Mnoge teme i pluginovi se sastoje od hiljade linija koda a potrebna je samo jedna da se doda backdoor koji može uništiti vaš sajt. Zato ako instalirate plugin ili temu, bolje je da verujete njegovom autoru i sajtu sa koga ste ga/je preuzeli”, kažu stručnjaci.

Oni savetuju da se pluginovi preuzimaju iz oficijalnog WordPress repozitorijuma ili direktno od autora. “Ne tražite “besplatne” kopije. Ne verujte linkovima na forumima ili na sajtovima koji nude nešto što im ne pripada”, savetuju stručnjaci.

Više o ovome na blogu firme Sucuri.