逾30万WordPress网站安全拉警报! Captcha外挂遭爆有后门

示意图，与新闻事件无关。

BestWebSoft

专门开发WordPress平台安全外挂程式的Wordfence周二（12/19）指出，他们在WordPress的免费外挂程式Captcha中发现了后门，可允许任何人存取WordPress网站的管理权限。

Captcha外挂程式是个图像验证机制，用来验证造访者是人类或是机器人，以供WordPress网站防止机器人大军的入侵。该外挂程式的原始开发商BestWebSoft在今年9月将免费版的所有权转交给了Simply WordPress，并保留付费的Captcha Plus与Captcha Pro版本。

有趣的是，此一后门的曝光其实是个意外。Captcha在前阵子因品牌名称中使用了「wordpress」，侵犯WordPress的商标权而遭到WordPress告诫并将之下架，由于Captcha拥有超过30万的用户，引起Wordfence的注意并进一步分析Captcha的程式码，才发现了后门。

根据Wordfence的说明，该后门以WordPress网站的预设管理员身分「 ID 1」建立了一个期间，设置了认证Cookies，再自行删除，且任何人都能触发它。

BestWebSoft在接手Captcha之后所陆续释出的数个更新都含有后门，从Captcha 4.3.6到4.4.4。Wordfence则与WordPress团队联手释出未含后门的Captcha  4.4.5，并藉由自动更新来修补受到影响的版本。WordPress也封锁了Simply WordPress直接更新Captcha的能力，未来的更新都需经WordPress审核后才能放行。

此外，Wordfence也察觉Simply WordPress与恶名昭彰的Mason Soiza有所关联，Soiza过去曾购买多个拥有大量用户的WordPress外挂程式，同样透过更新植入后门，目的是为了在这些WordPress网站上嵌入隐藏的反向连结（backlink），以提高Soiza客户网站在搜寻结果页面上的排名。例如Display Widgets外挂程式的后门也是出自Soiza之手。