Badacze cyberbezpieczeństwa z firmy Sucuri, należącej do GoDaddy, odkryli, że nieaktywna, ale legalna wtyczka WordPress, Eval PHP, jest wykorzystywana do atakowania stron internetowych. Eval PHP został pierwotnie opracowany, aby umożliwić użytkownikom dodawanie kodu PHP do artykułów i danych blogowych, a jego ostatnia aktualizacja miała miejsce mniej więcej dekadę temu. Od tego czasu przez dłuższy czas odnotowywał znikome pobrania, po czym w ostatnim miesiącu odnotował nagły wzrost liczby pobrań, gromadząc ponad 100 000 pobrań, przy czym w szczytowym momencie osiągał nawet 7 000 pobrań dziennie.
Komunikat Sucuri omawia taktykę stosowaną przez hakerów wykorzystujących Eval PHP. Kod tworzy skrypt PHP w docroot strony, który zawiera określony backdoor do zdalnego wykonywania kodu przy użyciu funkcji file_put_contents. Ponieważ backdoor wykorzystuje $_REQUEST[id] do pozyskania wykonywalnego kodu PHP, może uzyskać zawartość $_GET, $_POST i $_COOKIE, skutecznie ukrywając swoje parametry, pojawiając się jako ciasteczka. Sucuri podkreśla, że pomimo mniejszej wykrywalności niż POST, GET jest równie niebezpieczny.
Dodatkowo Sucuri identyfikuje, że hakerzy tworzą backdoory w różnych wersjach roboczych postów, czyniąc je niewidocznymi dla opinii publicznej i trudniejszymi do odkrycia w porównaniu z opublikowanymi stronami. WordPress nie skomentował jeszcze swojej polityki dotyczącej porzuconych wtyczek w odpowiedzi na zapytania TechRadar Pro. Do tego czasu Sucuri radzi użytkownikom WordPress, aby wzmocnili swój panel wp-admin i pilnie monitorowali aktywność. Organizacja oferuje czterostopniowy plan poprawy bezpieczeństwa:
- Upewnij się, że Twoja strona pozostaje zaktualizowana i załatana zgodnie z najnowszymi wersjami zabezpieczeń
- Wdrożenie dwuskładnikowego uwierzytelniania (2FA) lub podobnego środka ograniczającego dostęp do panelu administracyjnego
- Utrzymuj regularne kopie zapasowe witryny, aby zabezpieczyć się przed nieprzewidzianymi zdarzeniami
- Korzystaj z zapory aplikacji internetowej, aby chronić się przed złośliwymi botami i praktycznie łatać znane luki.
Wraz z rosnącą adopcją platform no-code i low-code, programiści i liderzy biznesu mogą z łatwością budować aplikacje internetowe i mobilne, omijając komplikacje związane z przestarzałymi wtyczkami. Jednym z takich rozwiązań jest platforma AppMaster, przystępne i skalowalne no-code narzędzie do tworzenia aplikacji backendowych, internetowych i mobilnych. AppMaster streamlines app development by negating technical debt and offering up-to-date solutions for businesses of all sizes.
Aby uzyskać więcej szczegółowych informacji na temat no-code i tworzenia aplikacji low-code, sprawdź nasz kompleksowy przewodnik: Full Guide on No-Code, Low-Code App Development for 2022.