GoDaddy’nin sahip olduğu web güvenlik firması Sucuri’deki siber güvenlik araştırmacıları, meşru bir wordpress eklentisi artık aktif olmayan bilgisayar korsanları tarafından ele geçirildi ve artık web sitelerini tehlikeye atıyor.
Kullanıcıların makalelere ve blog verilerine PHP kodu eklemesine izin vermek için tasarlanmış bir eklenti olan Eval PHP, en son on yıl önce güncellenmiş görünüyor ve son 10 yılda çok az indirme kaydedildi veya hiç indirilmedi.
Geçtiğimiz ay, Eval PHP’ye olan ilginin günde 7.000’e kadar indirme ile zirve yaparak 100.000’in üzerinde indirmeye ulaştığı görüldü.
Değerlendirme PHP hack
Sucuri fark etme (yeni sekmede açılır) kodun “belirtilen uzaktan kod yürütme arka kapısıyla web sitesinin docroot’unda bir PHP betiği oluşturmak için file_put_contents işlevini kullandığını” ayrıntılarıyla belirtir.
Çünkü arka kapı $_REQUEST kullanıyor[id] $_GET, $_POST ve $_COOKIE içeriklerini içeren yürütülebilir PHP kodunu elde etmek için, parametrelerini tanımlama bilgileri olarak maskeleyerek gizleyebilir. Sucuri, GET’in POST’tan daha az tespit edilebilir olduğunu ancak daha az tehlikeli olmadığını söylüyor.
Bulgular ayrıca, arka kapıların taslak olarak kaydedilen birden fazla gönderide oluşturulduğunu, bu nedenle ne kamuya açık olduklarını ne de canlı sayfalar kadar bariz olduklarını ortaya koyuyor.
WordPress hemen yanıt vermedi TechRadar Pro‘nin terkedilmiş eklentilerle ilgili politikası hakkında yorum talebi. Şimdilik, Sucuri ısrar ediyor wordpress kullanıcıların wp-admin panellerini güvenli hale getirmeleri ve aktivitelerini izlemeleri için. Güvenlik firması dört özel eylem önerir:
- En son güvenlik sürümleriyle web sitenizi yamalanmış ve güncel tutun
- Yönetici panelinizi 2FA’nın veya başka bir erişim kısıtlamasının arkasına yerleştirin
- Yağmurlu bir gün için çalışan düzenli bir web sitesi yedekleme hizmetine sahip olun
- Kötü botları engellemek ve bilinen güvenlik açıklarını sanal olarak yamalamak için bir web uygulaması güvenlik duvarı kullanın