Простой способ заразить сайт с помощью плагина

Как известно, любой разработчик может добавить свой шаблон или плагин на wordpress.org, тем самым пользователи повержены риску заразить свой сайт вредным кодом, тк никто не защищён от элементарного человеческого фактора, злого умысла.

В апреле 2013 года с очередным обновлением плагина Social Media Widget, пользователи получили порцию вредного кода, который заражал их сайт и распространял спам. Данный плагин был скачан 900 тысяч раз, можно предположить, что почти 1 млн веб-сайтов было заражено. После обнаружения вредоносного кода плагин был удалён из директории wordpress.org. Подробнее о действии вредоносного кода можно прочитать на сайте blog.sucuri.net.

О чём говорит данная ситуация? Во-первых, как говорилось из доклада Checkmarx в wordpress отсутствуют требования к безопасности плагинов. Во-вторых, если какой либо плагин был скачан почти 1 млн раз, это ещё не значит, что он безопасен. Понятное дело, создатели wordpress компания automatic не может контролировать каждое обновления плагина разработчиков, поэтому, друзья, не удивляйтесь, если с очередным обновлением плагина вы вскоре обнаружите блекдор или ещё какой либо сюрприз. Как вариант, скачивайте плагины от automatic, так будет надёжнее.