WordPress主题后门严重威胁网站安全

WordPress是国内站长非常喜欢采用的一款建站应用软件，由于其具有非常丰富的模版和插件，具有良好的可扩展性。特别对于博客类网站，WordPress几乎成为建站首选。

在阿里云安全团队的日常运营中，我们发现，WordPress一直是黑客攻击的主要目标。下图是阿里云云盾安全运营团队对第三方应用遭受攻击的统计（Source：第27期阿里云云盾安全运营报告，http://security.aliyun.com/doc/view/13762631.html）：





图1 WordPress是攻击者最主要的攻击目标之一

从上图来看，WordPress是攻击者最主要的攻击目标应用之一。这很大程度上在于WordPress应用在建站中的大量采用，以及不断暴露出来的安全隐患。

WordPress存在安全隐患的原因主要在于两个方面：一方面由于应用功能的丰富，程序越来越复杂，WordPress屡暴漏洞在所难免；另一方面提供WordPress主题和插件下载的网站五花八门、鱼龙混杂。很多黑客恰恰利用了这个现状，通过各种提供WordPress建站资源下载的网站散布带有恶意脚本的插件。事实上，上述两方面原因中后者的安全隐患更大。对于一个渴望找到建站资源的网站站长，在下载插件程序时，往往疏于防护，对提供下载资源的来源网站不加选择。

云盾安全技术团队在不久前截获了一个带有后门的WordPress程序。这个后门程序存在于WordPress一个叫做“KnowHow”的主题插件中。在这个插件里，我们发现如下代码：





图2: WordPress主题程序中的后门

红圈内的代码，很显然，就是后门。攻击者利用这个后门可以进一步获得网站的控制权。

经过云盾安全技术人员进一步调查，KnowHow是一款非常流行的WordPress主题。KowHow主题是收费的，价格为48美金。为了明确问题的根源，技术人员决定从确定被植入后门的程序来源入手。

我们联系了用户。和用户沟通后证实，该用户并非购买的正版主题，而是从国内某偏僻站点下载。与此同时，我们从官方渠道下载了一份同版本的主题程序，两者进行了比较。结果证实官方版本中并没有相对应的后门代码。因此，用户下载的程序显然是被人恶意修改后发布的版本。

我们并没有到此止步。云盾安全技术人员接下来经过搜索和对比， 发现大量国内此主题的下载文件中被人嵌入了类似的后门。

在明确了后门问题的原因后，云盾安全运营团队立刻对阿里云全网用户进行了扫描，并在第一时间通知了存在类似安全隐患的阿里云用户。

最后，对于WordPress KnowHow主题后门，阿里云云盾安全运营团队提出如下建议：

第一，请已下载并安装Knowhow主题的站长尽快检查自己的网站服务器，找到 /wp-content/themes/knowhow/functions.php文件，对比上文检查是否存在恶意代码。后门特征一般含有eval字符；

第二，从官方或具有良好信誉的网站下载插件，不要随意下载/添加不明站点的代码；