Исследователи кибербезопасности из принадлежащей GoDaddy компании Sucuri обнаружили, что неактивный, но легитимный плагин WordPress Eval PHP используется для компрометации веб-сайтов. Изначально Eval PHP был разработан для того, чтобы пользователи могли добавлять PHP-код в статьи и данные блога, а его последнее обновление произошло примерно десять лет назад. С тех пор в течение длительного времени количество загрузок было незначительным, а в прошлом месяце произошел резкий всплеск загрузок, превысивший 100 000 загрузок с пиком до 7 000 загрузок ежедневно.
В уведомлении Sucuri подробно описана тактика, применяемая хакерами с использованием Eval PHP. Код создает PHP-скрипт в docroot сайта, который содержит определенный бэкдор для удаленного выполнения кода с использованием функции file_put_contents. Поскольку бэкдор использует $_REQUEST[id] для получения исполняемого PHP-кода, он может получить содержимое $_GET, $_POST и $_COOKIE, эффективно скрывая свои параметры под видом cookies. Sucuri подчеркивает, что, несмотря на меньшую обнаруживаемость, чем POST, GET не менее опасен.
Кроме того, Sucuri указывает, что хакеры создают бэкдоры в различных черновиках постов, делая их невидимыми для общественности и более сложными для обнаружения по сравнению с опубликованными страницами. WordPress еще не прокомментировал свою политику в отношении заброшенных плагинов в ответ на запрос TechRadar Pro. До тех пор Sucuri советует пользователям WordPress укрепить свою панель wp-admin и тщательно следить за активностью. Организация предлагает четырехступенчатый план повышения безопасности:
- Убедитесь, что ваш сайт обновляется и исправляется в соответствии с последними релизами безопасности
- Внедрите двухфакторную аутентификацию (2FA) или аналогичную меру ограничения доступа для вашей панели администратора
- Регулярно создавайте резервные копии сайта, чтобы обезопасить себя от непредвиденных инцидентов.
- Используйте брандмауэр веб-приложений для защиты от вредоносных ботов и практически устраняйте известные уязвимости.
С ростом внедрения платформ no-code и low-code разработчики и руководители предприятий могут с легкостью создавать веб- и мобильные приложения, минуя сложности, связанные с устаревшими плагинами. Одним из таких решений является платформа AppMaster, доступный и масштабируемый no-code инструмент для создания бэкенда, веб- и мобильных приложений. AppMaster streamlines app development by negating technical debt and offering up-to-date solutions for businesses of all sizes.
Для получения более подробной информации о no-code и разработке приложений low-code ознакомьтесь с нашим полным руководством: Полное руководство по No-Code, Low-Code App Development for 2022.