WordPress eklentileri, içerik yönetim sisteminin yeteneklerini artırabilir ancak aynı zamanda güvenlik riskleri de doğurabilir. Ünlü bir WordPress eklentisi, geliştirici Austin Ginder’ın açıklamasına göre kötü amaçlı kod indirmek ve dağıtmak için kullanıldı.
Kötü niyetli faaliyet, Ginder’ın WP barındırma hizmeti Anchor’un bazı müşterilerini etkiliyordu. Ginder’ın araştırması, Anchor müşterilerinden birinin WordPress.org eklenti ekibinden Countdown Timer Ultimate (CTU) eklentisinin kötü amaçlı kod içerdiğine dair bir uyarı almasıyla başladı.
CTU eklentisi, “Essential Plugin” adı altında geliştirilen bir dizi eklentinin parçasıydı. Bu Hindistan merkezli marka, yakın zamanda kripto ve kumar alanında faaliyet gösteren bilinmeyen bir varlık tarafından satın alındı.
Yeni sahip, Essential Plugin’den (EP) yaklaşık 30 eklentiyi satın aldıktan sonra ilk SVN taahhütlerinde bir kapı aralayıcı (backdoor) ekledi. Bu kapı aralayıcının, ilk kötü amaçlı yazılım enjekte edilmeden sekiz ay önce eklendiği belirlendi. Kötü amaçlı kod, WordPress kurulumlarındaki temel yapılandırma dosyalarından biri olan wp-config.php içine gizlenmiş karmaşık yükler içeriyordu. Bu yazılım, spam bağlantıları çekmek, yönlendirmeleri tetiklemek ve sahte sayfalar üretmek için tasarlandı.
Kötü niyetli kişilerin komut ve kontrol işlevselliği, sunucunun alan adını bir Ethereum akıllı sözleşmesi içine gizledi, bu da etkisiz hale getirme çabalarını zorlaştırdı. Söz konusu sorun hakkında uyarılan WordPress.org eklenti ekibi, orijinal EP markası altında geliştirilen yaklaşık 30 eklentiyi kaldırdı. Ginder, kapı aralayıcı koddan etkilenen eklentilerin bir listesini sağlayarak WP yöneticilerini potansiyel riskler hakkında bilgilendirdi.
Bu olay, kötü niyetli kişilerin popüler WordPress eklentilerini ele geçirdiği bilinen ikinci vaka. İlk vaka 2017’de gerçekleşti ve bu durum 200.000 web sitesini etkiledi. Şu anki EP olayı, yüz binlerce potansiyel olarak savunmasız WordPress sitesini etkilemektedir.
WordPress eklenti pazarı, devam eden güvenlik ve güven sorunları ile tanınmaktadır. Şu anda WP ekibinin, site sahiplerinin bilmediği şekilde el değiştiren eklentileri işaretleme için güvenilir bir sistemi yok. Güvenlikte iyileştirmelerin gerçekleşmesi, WordPress ve WP Engine arasındaki hukuki sorunlar çözülmeden olası görünmüyor.
