Dussintals plugins för den allmänt använda open source webbbloggningsmjukvaran WordPress är för närvarande offline på grund av upptäckten av en bakdörr som kan användas för att skicka skadlig kod till webbplatser som är beroende av plugins. Bakdörren upptäcktes efter att en ny företagsägare köpte dessa plugins.
Austin Ginder, grundare av Anchor Hosting, slog larm förra veckan i ett blogginlägg som beskrev en supply chain-attack mot en WordPress-plugintillverkare som heter Essential Plugin. Ginder sa att någon köpte Essential Plugin förra året och lade snabbt till en bakdörr till pluginens källkod. Bakdörren var inaktiv fram till tidigare denna månad, då den blev aktiv och började distribuera skadlig kod till webbplatser där plugin-programmet var installerat.
Essential Plugin uppger på sin hemsida att pluginet har över 400 000 installationer och över 15 000 kunder. Enligt WordPresss plugininstallationssida ingår de berörda plugins i över 20 000 aktiva WordPress-installationer.
Plugins tillåter ägare av WordPress-baserade webbplatser att utöka funktionaliteten på sina webbplatser, men de gör det genom att ge installationsåtkomst till plugins, vilket potentiellt utsätter dessa webbplatser för skadliga tillägg och potentiella intrång. Ginder varnade dock för att WordPress-användare inte kommer att meddelas om pluginens ägarförändring, vilket gör dem öppna för potentiella uppköpsattacker från den nya ägaren.
Enligt Ginder är detta den andra WordPress-pluginkapningen som upptäckts under de senaste veckorna. Säkerhetsforskare har länge varnat för risken att illvilliga angripare köper programvara och modifierar dess kod för att äventyra ett stort antal datorer runt om i världen.
Även om dessa plugins har tagits bort från WordPress-katalogen och nu listar deras stängning som ”permanent”, varnade Ginder för att WordPress-ägare borde kontrollera om någon av de skadliga plugins fortfarande är installerade och ta bort dem. Ginders blogginlägg innehåller en lista över berörda plugins.
Representanter för Essential Plugin svarade inte på förfrågningar om kommentarer.
