Идеальное преступление в мире WordPress. Популярный плагин целых пять лет водил за нос своих пользователей
Владельцы 70 тысяч площадок даже не знали, что оставили вход для посторонних.
Популярный плагин для WordPress годами мог оставаться незаметной дверью в чужие сайты. Речь не о малоизвестном расширении из сомнительного источника, а о Quick Page/Post Redirect, который использовали более 70 тысяч ресурсов для обычных перенаправлений страниц и записей.
Проблему обнаружил Остин Гиндер, основатель хостинг-провайдера Anchor. Поводом стала тревога системы безопасности, сработавшая сразу на 12 заражённых сайтах из инфраструктуры компании. Проверка показала, что в Quick Page/Post Redirect ещё несколько лет назад добавили скрытый механизм, позволявший загружать произвольный код в обход контроля WordPress.org.
По данным Гиндера, вредоносная логика присутствовала в официальных версиях 5.2.1 и 5.2.2, вышедших в 2020–2021 годах. Внутри расширения находился собственный механизм обновления, который обращался к стороннему домену anadnet[.]com. Через него оператор мог подменять код плагина без участия каталога WordPress.org и без обычной проверки со стороны команды площадки.
В феврале 2021 года подозрительный механизм убрали из следующих версий, но до полноценного анализа код не дошёл. Уже в марте сайты с Quick Page/Post Redirect 5.2.1 и 5.2.2, по версии Гиндера, незаметно получили изменённую сборку 5.2.3 с внешнего сервера w.anadnet[.]com. Такая сборка отличалась хэшем от версии 5.2.3, доступной через WordPress.org, и содержала пассивный бэкдор. Схожий сценарий — когда обновление плагина оборачивается скрытым инструментом удалённого доступа — в последнее время фиксируется всё чаще.
Скрытая функция срабатывала только для пользователей, которые не вошли в админ-панель. Такой подход помогал прятать активность от владельцев сайтов. Код подключался к содержимому страниц и получал данные с сервера anadnet. Гиндер связывает схему с паразитным SEO, при котором чужие сайты могли использоваться для продвижения сторонних страниц в поиске.
WordPress.org временно удалил Quick Page/Post Redirect из каталога на время проверки. Пока неизвестно, добавил ли бэкдор сам автор расширения или его учётную запись либо инфраструктуру скомпрометировали третьи лица.
Главный риск связан не только с уже найденной скрытой функцией, а с самим внешним обновлением. Сейчас вредоносный поддомен управления не открывается, но основной домен остаётся активным, а у примерно 70 тысяч установок всё ещё может сохраняться проверка обновлений через anadnet. Владельцам затронутых сайтов советуют удалить расширение и заменить его чистой версией 5.2.4 из WordPress.org, когда она снова появится в каталоге.