WordPress用户别动心,免费高级插件装不得

作为全球最知名的开源博客程序,WordPress为广大站长、博客主提供一个优秀的网络平台。除此之外,WordPress用户可以为博客安装海量插件工具,目前累计有三万多款。其中不乏一些高级收费插件。

例如,WordPress爱好者熟悉的eCommerce、SEO等插件,不仅为用户带来更好使用体验,同时也为开发者带来盈利收入。

但是对于普通WordPress用户来说,他们更愿意使用各类免费、破解版的插件。这次,不少网络罪犯利用用户贪便宜的心理,推出“免费”高级WordPress插件吸引用户下载安装,谁知道,这些高级插件早已植入恶意代码甚至后门程序。

据国外Sucuri博客介绍,不少盗版“免费”高级版WordPress插件已被感染,例如SEOPressor。

SEOPressor插件,一般售价47美元,但有些网络罪犯制作了破解版,免费提供用户下载安装。据Sucuri博客研究员检测,该款插件部分代码允许制作者入侵已使用破解版SEOPressor插件的WordPress站点。

经过编译这些代码后,研究员发现网络罪犯将新建一个全新WordPress管理员账户,用户名为wordPress、密码为gh67io9Cjm。

WordPress普通用户一旦安装这些破解版插件后,该插件将自动用E-mail通知网络罪犯“安装已成功”提示消息。随后,攻击者将调用被感染的WordPress博客URL地址栏中的?cms=jjoplmh参数,调用新建管理员机制。

最后,网络罪犯成功登陆被感染的WordPress网站或者博客。

IT之家也提醒WordPress用户,谨慎安装各类破解版的插件。

此文由“快兔兔AI采集器”自动生成,目的为演示采集器效果,若侵权请及时联系删除。

原文链接:https://www.ithome.com/html/soft/78673.htm

更多内容