自定义内容类型管理器插件中的后门

这并不是第一次出现插件在最新更新后出现问题的情况。在其最新更新中发现了自定义内容类型管理器插件中的后门。自定义内容类型管理器版本 0.9.8.8 包含恶意代码。如果您在 WordPress 网站中安装了自定义内容类型管理器插件，那么您应该意识到这个问题。自定义内容类型管理器 (CCTM) 是一个 WordPress 插件，允许用户使用几乎任何类型的自定义字段创建自定义内容类型。 CCTM 使 WordPress 成为一个真正的内容管理系统。这是一个非常流行的插件，大多数 WordPress 用户都知道。它的活跃安装量超过 10,000 次，并获得了非常好的用户评价。我想说大多数 WordPress 用户都安装了这个插件并定期更新。

自定义内容类型管理器插件中的这个后门是由提供高级网站保护的公司 Sucuri 团队发现的。据 Sucuri 团队称，“本周我们清理了一个受感染的网站，并在 wp-content/plugins/custom-content-type-manager/ 中发现了一个非常可疑的 auto-update.php 文件。这是一个后门，可以从hxxp://wordpresscore.com/plugins/cctm/update/（域名肯定很可疑）下载文件，并将其以.php扩展名保存在插件目录中”。

后门是一种绕过安全机制访问计算机程序的方法。程序员有时可能会安装后门，以便可以访问该程序以进行故障排除或其他目的。然而，攻击者经常使用他们自己检测或安装的后门作为攻击的一部分。

此 auto-update.php 文件包含从受感染网站上的远程服务器下载文件的功能。最危险的部分是除了收集受害者网站上的信息外，该插件还侵入 WordPress 登录过程并记录用户名和密码，然后编写代码将数据发送到 wordpresscore.com 服务器。

接下来我应该做什么？

如果您最近将自定义内容类型管理器插件更新到版本 0.9.8.8 或最近安装了该插件，则您应遵循以下步骤。感谢 Sucuri 团队提供明确的指示来缓解此问题。

1. 停用自定义内容类型管理器插件。转至插件 > 停用 CCTM 插件。

2. 检查所有核心 WordPress 文件的一致性。您可以重新安装 WordPress 来实现此目的。至少，请确保以下三个文件未被修改（对于 WP 4.4.2，您可以在此处获取原始文件）：

   1. ./wp-login.php
3. ./wp-admin/user-edit.php
4. ./wp-admin/user-new.php