您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
> 首頁 > 資安新聞

資安新聞

WordPress Captcha外掛存有後門程式

專門開發WordPress平台安全外掛程式的Wordfence於12/19指出,他們在WordPress的免費外掛程式Captcha中發現了後門,允許任何人存取WordPress網站的管理權限。Captcha外掛程式是個圖像驗證機制,用來驗證造訪者是人類或是機器程式,以供WordPress網站防止駭客使用機器程式入侵。該外掛程式的原始開發商BestWebSoft在2017/9將免費版的所有權轉交給了Simply WordPress,並保留付費的Captcha Plus與Captcha Pro版本。此一後門的曝光其實是個意外。Captcha前陣子因品牌名稱中使用了「wordpress」,侵犯WordPress的商標權而遭到WordPress告誡並將之下架,由於Captcha擁有超過30萬的用戶,引起Wordfence的注意並進一步分析Captcha的程式碼,才發現了後門。

根據Wordfence的說明,該後門以WordPress網站的預設管理員身分「 ID 1」建立了一個期間,設置了認證Cookies,再自行刪除,且任何人都能觸發它。BestWebSoft在接手Captcha之後所陸續釋出的數個更新都含有後門,從Captcha 4.3.6到4.4.4。Wordfence則與WordPress團隊聯手釋出未含後門的Captcha  4.4.5,並藉由自動更新來修補受到影響的版本。WordPress也封鎖了Simply WordPress直接更新Captcha的能力,未來的更新都需經WordPress審核後才能放行。

Reference

資料來源:
https://www.theregister.co.uk/2017/12/20/backdoor_wordpress_captcha/
https://www.wordfence.com/blog/2017/12/backdoor-captcha-plugin/
https://www.ithome.com.tw/news/119735
國家資通安全會報技術服務中心整理

Publish Date
2018/1/8 0:00:00