黑客开发虚假WordPress安全插件植入后门感染用户

网络安全公司Sucuri近日发现，网络犯罪分子在虚假防垃圾WordPress插件“X-WP-SPAM-SHIELD-PRO”的源代码内隐藏PHP后门，伪装成安全工具窃取用户数据。

攻击者显然是在试图利用合法WordPress插件“WP-SpamShield Anti-Spam”发起攻击。

下载“X-WP-SPAM-SHIELD-PRO”的用户会被后门感染，攻击者可在用户网站创建自己的管理账号，将文件上传到受害者的服务器上，禁用所有插件等。

利用安全插件传送后门

所有恶意行为通过这个虚假插件的文件传播，例如：

class-social-facebook.php——伪装成社交媒体垃圾邮件防护工具，但其中的代码会将用户的插件列表发送给攻击者，并随意禁用所有插件。禁用所有插件是为关闭其它阻止非授权登录访问或检测非授权登录的安全插件。

class-term-metabox-formatter.php——将用户的WordPress版本的发送给攻击者。

class-admin-user-profile.php——向所有WordPress管理用户名单发送给攻击者

plugin-header.php——添加名为“mw01main”的管理用户。

wp-spam-shield-pro.php——Ping mainwall.org上的黑客服务器，当新用户安装虚假插件时通知攻击者。文件发送的数据包括用户、密码、被感染的网址和服务器IP地址。

后一个文件还包含一段代码，允许攻击者将ZIP压缩包上传至受害者网络，解压并运行其中的文件。

建议用户使用WordPress官方插件库

Sucuri公司表示，这款插件未出现在官方WordPress插件库中，而是在其它地方提供下载来源。该插件诱使用户担心自己的网站安全，而事实上确是攻击者下的套。专家建议WordPress用户仅安装官方插件库的插件。