Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Популарниот додаток за пренасочување на WordPress криел неактивна задна врата (backdoor) со години

Објавено: 30.04.2026

Додатокот Quick Page/Post Redirect, инсталиран на повеќе од 70.000 WordPress сајтови, содржел задна врата додадена пред пет години, која овозможува вметнување произволен код во сајтовите на корисниците.

Малверот бил откриен од Austin Ginder, основач на WordPress хостинг провајдерот Anchor, откако 12 заразени сајтови од неговата инфраструктура активирале безбедносно предупредување.

Додатокот Quick Page/Post Redirect, достапен на WordPress.org веќе неколку години, е едноставен алат за креирање пренасочувања (redirects) во постови, страници и прилагодени URL-адреси. WordPress.org привремено го отстранил плагинoт од директориумот додека трае ревизија. Засега не е јасно дали авторот го внел backdoor-от или бил компромитиран од трета страна.

Според Ginder, официјалните верзии 5.2.1 и 5.2.2 (објавени помеѓу 2020 и 2021) содржеле скриен механизам за само-ажурирање што укажувал кон надворешен домен „anadnet[.]com“, со што било можно испорачување на произволен код надвор од контролата на WordPress.org.

Во февруари 2021, овој злонамерен механизам бил отстранет од поновите верзии на плагинoт на WordPress.org, пред рецензентите да успеат детално да го анализираат кодот.

Во март 2021, сајтовите што користеле верзии 5.2.1 и 5.2.2 тивко добиле компромитирана верзија 5.2.3 од надворешниот сервер, која вовела пасивна задна врата.

Оваа верзија од серверот „w.anadnet[.]com“ имала различен hash од истата верзија достапна на WordPress.org, што укажува на манипулација.

Пасивната задна врата се активира само за корисници кои не се најавени, со цел да ја сокрие својата активност од администраторите. Таа е поврзана со „the_content“ и презема податоци од „anadnet“ серверот, најверојатно користени за SEO spam операции.

„Вистинскиот механизам беше cloaked parasite SEO. Додатокот изнајмувал Google рангирање на седумдесет илјади веб-страници на оној што ја контролирал оваа позадинска врска во 2021,“ објаснува Ginder.

Сепак, најголемата опасност за засегнатите сајтови доаѓа од самиот механизам за ажурирање, кој овозможува извршување на произволен код по потреба. Овој механизам сè уште постои кај инсталациите на плагинoт, но моментално е неактивен бидејќи злонамерниот command-and-control поддомен не се резолвира (иако доменот е активен).

Решението за засегнатите корисници е да го деинсталираат плагинoт и да го заменат со чиста копија од верзија 5.2.4 од WordPress.org, кога повторно ќе биде достапна.

Ginder испратил и порака до одговорните за задната врата, повикувајќи ги да постапат одговорно и да објават статичен update manifest што ќе ги принуди сите засегнати инсталации автоматски да се ажурираат на чистата верзија од WordPress.org, со што би се отстранила задната врата.

Истражувачот предупредува дека Quick Page/Post Redirect сè уште има околу 70.000 инсталации со механизам за проверка на ажурирања што укажува кон „anadnet“ серверот.

Извори:

  • Bleeping Computer – Popular WordPress redirect plugin hid dormant backdoor for years Bleeping Computer