Backdoors ontdekt in drie WordPress-plugins

Drie verschillende WordPress-plugins blijken backdoors te bevatten die zijn gebruikt om spam te injecteren in websites die de plugins draaien. Het gaat om de plugins Duplicate Page and Post, No Follow All External Links en WP No External Links.

Dit meldt het beveiligingsbedrijf Wordfence. De plugins draaien op tienduizenden WordPress-websites. Met meer dan 50.000 installaties is Duplicate Page and Post de meest gebruikte getroffen plugin. WP No External Links is op meer dan 30.000 websites geïnstalleerd, terwijl No Follow All External Links op ruim 9.000 websites actief is.

Spam injecteren in websites

De drie getroffen plugins zijn ontwikkeld door verschillende ontwikkelaars en recentelijk verkocht aan een derde partij die zich hierbij heeft uitgegeven als Leon Goodman en Daley Tias. Een analyse van Wordfence wijst uit dat in alle gevallen gaat om dezelfde koper.

De aanvaller heeft vervolgens additionele code in de plugins verwerkt die het mogelijk maakt op afstand spam te injecteren in websites die de plugins draaien. Het gaat hierbij om search engine optimization (SEO) spam, een vorm van spam die als doel websites hoger te laten eindigen in de zoekresultaten van zoekmachines.

Orb Online

In alle gevallen is voor de aankoop van de plugins betaald door een Britse marketingbureau genaamd Orb Online. Dit bedrijf geeft op zijn website aan gespecialiseerd te zijn in SEO, e-commerce en Magento web development. Wordfence vermoedt dat deze partij de backdoors in de plugins heeft gebruikt om spam links te injecteren in getroffen websites, met als doel de positie van websites van klanten in de resultaten van zoekmachines te verbeteren.