Популярный плагин WordPress Gravity Forms подвергся атаке: через него распространялось вредоносное ПО
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Gravity Forms, один из самых популярных премиальных плагинов для WordPress, оказался в центре серьёзной кибератаки. По оценкам специалистов, этим расширением пользуются не менее миллиона владельцев сайтов. Злоумышленники смогли попасть на официальный сайт Gravity Forms и незаметно заменить файл установки плагина на вредоносный.
В результате с 10 по 11 июля все, кто скачивал версии 2.9.11.1 и 2.9.12 напрямую с сайта RocketGenius — компании‑разработчика этого плагина — получали вместе с плагином вредоносный код. Вредоносное ПО собирало данные о сайте, могло выполнять любой код по команде извне и блокировало обновление самого плагина. Более того, через заражённый файл злоумышленники получали полный контроль над атакованным сайтом — они даже создавали дополнительную учётную запись с правами администратора.
Gravity Forms обычно используют для создания форм обратной связи, опросов, оплаты — всего, где нужен быстрой настраиваемый интерфейс «перетащи и собери». Благодаря своей интеграции с большим числом сервисов, плагин популярен у компаний и экспертов по всему миру.
Выследив атаку, команда RocketGenius уточнила: злоумышленники могли заразить только те сайты, где плагин устанавливали вручную или через composer (инструмент для профессиональной автоматизации установки). Установка и обновления через внутреннюю систему лицензирования Gravity API остались чистыми, они не были уязвимы.
Если вы скачивали Gravity Forms вручную с официального сайта 10 или 11 июля, удальте этот плагин и переустановите его начисто. А также проверьте сайт на наличие подозрительных действий и левых админов. Первая безопасная версия после инцидента — 2.9.13, она уже доступна на сайте разработчика.
Gravity Forms — ещё один плагин для WordPress, собравший миллионную паству админов, прославился своей... инфицированностью. Так бывает с любой популярной игрушкой: чем больше пользователей — тем жирнее приманка для скучающего в затылке хакера. Сценарий — привыденно банальный: July 10 и 11, кто-то лукавый заменил официальный установщик на заражённый, а админы же, как на Пасху, массово загружали себе на головы горшки от чужих рук. Случайно именно те версии, что скачивались напрямую (руками!), обычно для ускорения процесса или в попытке быть «чайником‑инноватором».
Код внутри делал всю грязную работу: собирал сведения, умело ставил блок на обновления, звал на помощь друзей по внешней сети и создавал лишнюю учётку с правами бога. Причём, чтобы расширить игру, интерфейсные кнопки и Gravity API остались «чисты» — компания RocketGenius сразу отпиралась, дескать, проблема только у нетерпеливых ручников. Вот уж где старое ИТ-заклинание сработало: «Не лезь куда не просят».
Кого винить? Админов, которые решили быть «продвинутыми», скачивая всё сами — или компанию-разработчика, не сумевшую защитить святая святых? Итог: скачал 10 или 11 — неси сайту свечку и совершай обряд очистки. Чистая версия с номером 2.9.13 ждет на сайте, а неопытным теперь останется только вспоминать, как выглядел их админ‑панель до появления лишних хозяев. Ритуал таков: удаляй, очищай, перепроверяй, молись цифровым богам о прощении. Первоисточник? Классика — жадность плюс небрежность на поле божественных заслуг.