Популярный WordPress-плагин перенаправления содержал скрытый бэкдор несколько лет

В экосистеме WordPress вновь выявлена серьёзная проблема безопасности, которая затронула один из популярных плагинов для управления перенаправлениями. Речь идёт о расширении Quick Page/Post Redirect, которое было установлено более чем на 70 тысячах сайтов. Исследователи обнаружили, что в коде плагина на протяжении нескольких лет находился скрытый механизм удалённого внедрения кода, способный превратить сайт в инструмент злоумышленников.

Особую тревогу вызывает то, что вредоносный код долгое время оставался неактивным и не вызывал подозрений у администраторов. Это позволило бэкдору сохраняться внутри сайтов без явных признаков компрометации, а владельцы ресурсов даже не подозревали, что их сервер может использоваться в чужих целях.

Как был обнаружен скрытый механизм

Проблему обнаружил специалист по безопасности Остин Гиндер, который анализировал подозрительную активность сразу на нескольких WordPress-сайтах. Во время проверки выяснилось, что все заражённые ресурсы использовали один и тот же плагин для перенаправления страниц.

После детального изучения кода оказалось, что в версиях 5.2.1 и 5.2.2 присутствовал дополнительный механизм обновления, который не был связан с официальной системой WordPress. Вместо стандартной проверки обновлений через WordPress.org плагин обращался к стороннему домену и мог получать оттуда произвольный PHP-код.

Это означало, что оператор внешнего сервера потенциально мог:

• загружать новые вредоносные модули;
• изменять содержимое сайта;
• добавлять скрытые ссылки;
• перенаправлять посетителей;
• выполнять команды на сервере.

Самое опасное заключалось в том, что всё это могло происходить без участия владельца сайта.

Почему бэкдор оставался незаметным

Одной из причин длительной скрытности стало поведение вредоносного кода. Он срабатывал только для незарегистрированных посетителей. Если администратор сайта открывал страницу под своей учётной записью, подозрительная активность не отображалась.

Подобный подход часто используется злоумышленниками, поскольку позволяет:

• скрывать заражение от владельца ресурса;
• избегать обнаружения стандартными средствами мониторинга;
• сохранять вредоносный доступ максимально долго;
• использовать сайт для SEO-спама.

В некоторых случаях заражённые сайты могли использоваться для скрытого размещения ссылок на сторонние ресурсы. Поисковые системы видели один контент, а обычные пользователи — совершенно другой.

Как работал скрытый канал обновления

В нормальной ситуации WordPress проверяет обновления через официальный каталог плагинов. Однако в данном случае разработчики или злоумышленники встроили альтернативный канал обновления, который обращался к внешнему серверу.

Схема выглядела следующим образом:

• плагин выполнял запрос на сторонний домен;
• сервер возвращал специальный ответ;
• WordPress воспринимал его как легитимное обновление;
• код автоматически устанавливался на сайт.

Из-за этого любой сайт с уязвимой версией плагина мог получить вредоносное обновление без предупреждения.

Даже если сам бэкдор находился в спящем режиме, возможность удалённой активации сохранялась. Это делало проблему особенно серьёзной для корпоративных сайтов и интернет-магазинов.

Какие сайты находятся в зоне риска

Наибольшую опасность проблема представляет для ресурсов, которые использовали:

• версии 5.2.1;
• версии 5.2.2;
• автоматическое обновление плагинов;
• устаревшие настройки безопасности сервера.

Особенно уязвимыми могли стать сайты без:

• WAF-защиты;
• мониторинга изменений файлов;
• антивирусного сканирования;
• резервных копий.

Даже если вредоносная активность не проявлялась явно, сайт мог уже использоваться для скрытых действий.

Что рекомендуется сделать владельцам сайтов

Администраторам WordPress-сайтов рекомендуется немедленно проверить наличие этого расширения и выполнить аудит системы.

Последовательность действий может быть такой:

• найти установленный Quick Page/Post Redirect;
• полностью удалить плагин;
• проверить файлы на изменения;
• просканировать базу данных;
• сменить пароли администратора;
• проверить список пользователей;
• обновить все плагины и тему;
• включить журнал безопасности.

Если сайт уже демонстрировал подозрительные редиректы, рекомендуется дополнительно проверить серверные логи и провести полное сканирование на наличие веб-шеллов.

Почему проблема важна для всей экосистемы WordPress

Этот случай ещё раз показывает, что даже популярные плагины с большим количеством установок не всегда безопасны. WordPress остаётся крупнейшей CMS в мире, а значит любые уязвимости в её расширениях автоматически становятся привлекательной целью для атакующих.

Проблема также поднимает вопрос доверия к сторонним разработчикам. Пользователи часто устанавливают плагины, не проверяя:

• историю обновлений;
• репутацию автора;
• частоту поддержки;
• наличие аудита кода.

Скрытые механизмы внутри популярных расширений могут оставаться незамеченными годами, особенно если вредоносный код активируется только при определённых условиях.

Выводы

История с Quick Page/Post Redirect демонстрирует, насколько опасным может быть скрытый бэкдор в популярном WordPress-плагине. Даже небольшое расширение, предназначенное для обычных редиректов, может стать точкой входа для масштабной компрометации сайта.

Владельцам WordPress-ресурсов важно не только обновлять систему, но и регулярно проверять плагины, отслеживать изменения файлов и использовать инструменты безопасности. Чем раньше будет выявлена подозрительная активность, тем меньше вероятность серьёзных последствий для проекта.

Часто задаваемые вопросы

Как понять, установлен ли у меня проблемный плагин?

Проверьте раздел «Плагины» в админ-панели WordPress и найдите Quick Page/Post Redirect. Особое внимание следует уделить версиям 5.2.1 и 5.2.2.

Может ли сайт быть заражён без видимых признаков?

Да, бэкдор мог работать скрытно и показывать вредоносный контент только обычным посетителям, а не администраторам.

Достаточно ли просто удалить плагин?

Удаление — первый шаг, но после этого нужно проверить файлы сайта, базу данных и список пользователей на предмет посторонних изменений.

Какие плагины безопасности помогут избежать подобных проблем?

Для защиты можно использовать Wordfence, Sucuri, iThemes Security и другие решения, которые отслеживают изменения файлов и подозрительную активность.

Стоит ли отключить автоматические обновления плагинов?

Не всегда. Лучше использовать автоматические обновления только для проверенных плагинов и одновременно включить мониторинг безопасности.

Редактор: AndreyEx