AccessPress 遭受黑客攻击，93 款 WordPress 主题和外挂被植入后门（钟南山：广州疫情防控取得阶段性胜利）

cnBeta • 2023年9月27日 10:33 • 投稿

WordPress 因拥有丰富的主题模块与外挂，加上操作简单明了，入门门槛较低，受到很多自架网站的人喜爱。不过有优点当然也有顾及不上的时候，开放式平台虽然可让使用更个性化、更多元，难免就会有让人防不胜防的意外情况发生。近日国外安全研究单位发现受欢迎的 WordPress 外挂与开发商 AccessPress 被黑客入侵，悄悄地植入后门，波及采用这些服务的未知数量网站。
AccessPress 遭受黑客攻击，93 款 WordPress 主题和外挂被植入后门（钟南山：广州疫情防控取得阶段性胜利）

AccessPress 遭受黑客攻击，93 款 WordPress 主题和外挂被植入后门

这种从服务供应商进行的攻击并不是通过容易被侵害的软件组件直接危害系统，而是可以破坏网站和网络管理员获取软件的来源。比较知名的案例就是2020年的SolarWinds攻击，成千上万的美国政府机构与公司正式受到这类型的攻击遭到破坏，在这种情况下，攻击者获得了对高阶机构爱用的网络管理与更新软件SolarWinds Orion的超级用户权限，一旦软件来源遭到入侵，任何安装软件或从受感染来源进行更新的网络或网站管理员都会在不知不觉中损害自己的计算机系统。
AccessPress 遭受黑客攻击，93 款 WordPress 主题和外挂被植入后门（钟南山：广州疫情防控取得阶段性胜利）

AccessPress 是一家 WordPress 外挂开发商，在全球超过 36 万个活跃网站中广受使用。 WordPress 网站安全和优化工具开发商 Jetpack 的研究人员率先发现这次攻击，他们发现在主题和外挂中被添加了一个 PHP 后门，JetPack 发现，一个外部黑客先是攻破了 AccessPress 网站，对其软件进行破坏从而感染到更多的 WordPress 网站上。
AccessPress 遭受黑客攻击，93 款 WordPress 主题和外挂被植入后门（钟南山：广州疫情防控取得阶段性胜利）

一旦管理员在网站上安装受到入侵的 AccessPress 产品，攻击者会在主题的主目录中添加一个名为「initial.php」的文件，并将其纳入主要的「function.php」文件里。在此文件里面包含一个 base64 编码的有效负载，然后将 webshell 写入「./wp-includes/vars.php」文件中。恶意程式码透过解码有效负载并将其注入「vars.php」文件来完成后门的安装，本质上是让恶意人士对受感染的网站进行远程控制。
AccessPress 遭受黑客攻击，93 款 WordPress 主题和外挂被植入后门（钟南山：广州疫情防控取得阶段性胜利）

要想检测这种威胁的唯一方法是使用核心文件完整性监控解决方案，因为恶意软件非常狡猾，会以删除「initial.php」文件的投放器来掩盖其踪迹，单纯查找代码的方式难以发现其存在。如果你有直接从 AccessPress Themes 或 WordPress.org 以外的任何地方安装的任何主题或插件，都应立刻升级到本文最下面表格所示的安全版本。如果没有可用的安全版本，请将其替换为 WordPress.org 的最新版本，并且建议可以为网站制定安全规划，包括恶意文件扫描和网站备份等工具。请注意，上面提到的方式并不会从系统中删除后门，因此你必须重新安装 WordPress 的干净版本，将被安装后门期间核心文件修改恢复成干净的完整状态。

下面笔者整理了受影响的主题清单与插件清单，大家可以检查一下：

★受影响的主题
如果你的网站上安装了以下任何主题，建议你尽快转换到其他主题，目前 AccessPress Themes 尚未提供其中任何更新。
AccessPress 遭受黑客攻击，93 款 WordPress 主题和外挂被植入后门（钟南山：广州疫情防控取得阶段性胜利）

★受影响的插件
如果你的网站上安装以下任何版本号在「Bad」栏中的插件，我们建议您立即升级到「Clean」栏中的版本。值得注意的是，有些虽然列在「Bad」栏中，如果是透过 WordPress.org 安装，则该插件是干净的，但为了安全起见，仍然建议升级到已知的干净版本。

备注1：因为 AccessPress Themes 网站上的版本较旧，虽该插件尚未更新，但被认为是干净 AccessPress 遭受黑客攻击，93 款 WordPress 主题和外挂被植入后门（钟南山：广州疫情防控取得阶段性胜利）

备注2：
由于最初在 AccessPress Themes 上无法使用，虽该外挂未更新，但仍被视为干净。