SI CAPTCHA 反垃圾评论插件因恶意代码被 WordPress.org 插件目录永久移除

分享本文:
cyber-malicious-code
SI CAPTCHA 反垃圾评论插件因恶意代码被 WordPress.org 插件目录永久移除
请为本文打分

WordPress 著名的防范垃圾评论的插件 SI CAPTCHA 最近被 WordPress.org 永久移除了官方插件目录,原因是插件新开发者在插件中添加了恶意代码。这是一个应用广泛的插件,我们 WordPress 中文网也曾使用此插件。我们建议所有使用此插件的用户停用并删除该插件

SI CAPTCHA 插件通过增加 CAPTCHA 图像测试,来阻止有人向通过 bbPress, BuddyPress, Jetpack, Woocommerce 等生成的表单发送垃圾评论。这是个行之有效的防范措施。

该插件原先的作者是 Mike Challis ,从 2017 年 7 月份开始插件所有者改成了一个叫做 fastsecure 的用户。Challis 并不知晓 fastsecure 的计划,但是他在 WordPress.org 论坛发布了一篇文章,告知用户该插件已经被移除出官方插件目录。

“插件的新主人试图在他最新提交的版本中放入代码,这些代码会访问他自己拥有的的第三方服务器,然后在用户的文章之中插入 payday load 的广告。”Challis 说。同时,他还指出,该插件是 Wordfence 安全公司研究员在一篇文章中所说的协同垃圾活动的一部分。该群体的另外一个插件,Display Widget,也同样被 WordPress.org 插件目录永久移除。安全研究人员并未在 Display Widget 插件中发现任何已知恶意代码,但该插件已经不再维护,取代其功能的是 Jetpack 插件包的 Widget Visibility 模块。

SI CAPTCHA 插件原作者 Challis 说,该插件新开发者并没有能够展示任何垃圾信息,因为它的代码并未实现,但是有可能在今后激活。

插件新主人将恶意代码插入到了 3.0.1 和 3.0.2 版本中,但未能展示垃圾信息,因为他把代码放入了 secureimage.php 文件中。恶意代码需要加载 WordPress 库才能执行。恶意代码之所以未能执行,是因为在真实的 WordPress 运行环境中并没有包含(include)这个文件。包含此文件的另外一个文件 securimage_show.php 文件 在运行时是从外部直接调用的 captcha 图片文件。插件中的恶意代码从未激活,它不会改变或者破坏你 WordPress 数据库中的任何东西。

SI CAPTCHA 反垃圾评论插件的用户们,你们会在 WordPress 管理后台看到一条更新可用。插件团队的 Samuel Wood 移除了恶意代码并发布了 3.0.3 干净版本,这是为依赖此插件的用户提供的安全可靠版本。Wood 同时建议大家寻求其他的替代插件,因为该 SI CAPTCHA 插件无法再出现在 WordPress 插件目录之中,用户今后也将无法收到更新提醒。

对于目前仍在使用此插件的用户,请按照以上提示进行升级。同时,AntiSpam by CleanTalkSimple Google reCAPTCHA, CAPTCHA Code 等许多插件也可以作为替代品,各位用户可以根据自己的实际需要选择使用。

SI CAPTCHA 反垃圾评论插件因恶意代码被 WordPress.org 插件目录永久移除
请为本文打分
分享本文:


发表一下评论

电子邮件地址不会被公开。 必填项已用*标注