近日，据外媒报道称，网络犯罪分子在一个 WordPress 插件的源代码中隐藏了一个 PHP 后门，并将其伪装成一款名为“X-WP-SPAM-SHIELD-PRO”安全工具来窃取用户数据。

很显然，攻击者正在试图利用合法且受欢迎的WordPress插件“WP-SpamShield Anti-Spam”进行传播，并对外宣称其是一款流行的防垃圾邮件工具，但是，事实上，一旦用户下载“X-WP-SPAM-SHIELD-PRO”后就会被后门感染，从而允许攻击者在用户的网站上创建自己的管理员账号，并将文件上传到受害者的服务器上，禁用所有插件等等。

安全插件上演“无间道”

所有的恶意行为都通过这个虚假插件的文件传播，例如：

class-social-facebook.php——伪装成社交媒体垃圾邮件防护工具，但内部的代码会将用户的插件列表发送给攻击者，并可选择禁用所有插件。禁用所有插件的原因是为了关闭其它阻止访问登录功能或检测黑客的非授权登录的安全插件；
class-term-metabox-formatter.php——将用户的WordPress版本的发送给攻击者；
class-admin-user-profile.php——向所有WordPress的管理员用户列表发送给攻击者；
plugin-header.php——添加一个名为“mw01main”的附加管理用户；
wp-spam-shield-pro.php——Ping 位于mainwall.org上的黑客服务器，让攻击者知道新用户何时安装了虚假的插件。该文件发送的数据包括用户、密码、受感染站点的URL以及服务器的IP地址等。

最后一个文件还包含一段代码，允许攻击者在受害者的站点上上传ZIP压缩包，解压并运行其中的文件。当安全研究人员发现这个恶意插件时，其提供下载的 ZIP文件已经损坏，但是，专家认为，攻击者也在一款知名的 WordPress SEO 插件“All in one SEO Pack”中部署了一个受污染的版本。

安全建议

据发现该“X-WP-SPAM-SHIELD-PRO”插件的网络安全公司Sucuri表示，该反垃圾插件从来没有在官方的 WordPress 插件存储库中提供过，而是通过其他方式提供的。总而言之，该插件会试图诱骗用户安装它们来保护自身网站安全，但是实际上这些所谓的安全插件却在威胁网站安全。

就像 Google Play Store、Apple App Store以及其他官方商店一样，WordPress 建议用户只能从官方插件库安装免费插件。虽然 WordPress 插件存储库及其管理员并未完美无误，但是其提供下载的插件通常都是经由社区巡检过的，而社区通常会及时检测并报告这些威胁，所以用户可以放心使用。