最近,一个开发人员在他的博客上揭露了一个非常严重的“安全事件”。一个开发人员的客户给他打了一个求助电话,因为在客户购买并安装了站点的WordPress主题之后,运行得非常慢,但是却无法找到原因。然后开发人员深入挖掘问题的根源,结果令人惊讶。
Pipdig是最大的WordPress主题开发者之一,但是它的“Pipdig Power Pack”插件最近被发现是一个流氓软件。
文章开头提到的开发者在研究了pipdig Power Pack插件的源代码后,发现了以下行为:
正在使用其他博主的服务器对竞争对手执行DDoS
正在操纵博主的内容,以更改指向竞争对手WordPress迁移服务的链接,以指向pipdig网站
未经许可从博客网站收集数据,直接违反GDPR的各个部分
正在使用收集的数据,通过更改管理员密码来访问博主的网站
包含一个“kill switch”,它会删除所有数据库表
在未经许可的情况下,故意禁用pipdig认为不必要的其他插件
将管理通知和元框隐藏在WordPress core和仪表板中的其他插件中,这些插件可能包含重要信息