במהלך חקירה שנערכה לאחרונה על ידי Sucuri, התגלתה נוזקה המאפשרת להאקרים לזהות אתרי וורדפרס המשתמשים באופן פעיל ב- WooCommerce בסביבת אחסון אתרים שזוהתה כבעלת בעיות אבטחה.

WooCommerce הינו כידוע, תוסף וורדפרס רב עוצמה אשר נועד להקמה ותפעול שוטף של חנות מסחר אלקטרוני. הפופולריות של WooCommerce אפשרה לו ליצור לעצמו נתח שוק גדול במהירות ולהפוך לאחת מפלטפורמות המסחר האלקטרוני הגדולות בעולם. פופולריות זו לא נעלמה מעיני האקרים וככל הנראה, זו הסיבה שתוסף WooCommerce לאתרי וורדפרס הפך למוקד של מתקפות. יש לציין כי האקרים "נהנים" כבר מפרצות אבטחה קיימות במספר גדול של תוספי וורדפרס. פרצות אבטחה אלו מאפשרות לתוקפים לקבל גישה לא מורשית לאתר ורודפרס ובעקבות כך לנתונים הקשורים ל- WooCommerce הקיימים במסד הנתונים של וורדפרס. כמו כן חשוב לציין כי כברירת מחדל, תוסף WooCommerce אינו שומר נתוני כרטיסי אשראי, כך שהאקרים אינם יכולים פשוט לגנוב פרטי תשלום רגישים ממסד הנתונים של וורדפרס.

באשר לאופן ביצוע התקיפה: הנוזקה מוזרקת לאתר וורדפרס מתוך פרצת אבטחה שאותרה במערכת אחסון האתר (הרשאות קבצים לא נכונות) והנוזקה מתחילה במיפוי המידע השמור בבסיס הנתונים של האתר. הנוזקה מקודדת ב- PHP ויוצרת פונקציות שונות המשמשות לחיפוש אחר אתרי וורדפרס אחרים, התחברות למסד הנתונים שלהם וביצוע שאילתות בסיס נתונים לנתוני WooCommerce ספציפיים. מאפיין חשוב נוסף של נוזקה זו הינה בכך שהיא משתמשת בפונקציה הדומה ל- getDir כדי ליצור שלוש דלתות אחוריות לכל ספרייה שהתגלתה בסביבת האחסון הפגיעה. בגילוי תוסף WooCommerce באתר הוורדפרס, עשוי ההאקר לקבל פרטים רגישים אודות כל התקנות WooCommerce, כולל הזמנות ותשלומים כוללים.

נוזקה זו הינה דוגמה טובה להאקרים הממנפים גישה בלתי מורשית לקביעת יעדים פוטנציאליים חדשים בסביבות אחסון אתרים בעלות פרצות אבטחה. כמו כן, מדגימה נוזקה זו כיצד פגיעות חוצה אתרים יכולה להתרחש ביצירת דלתות אחוריות מרובות בספריות מחוץ לספריית האתר הנגוע. מכיוון שנוזקה זו אינה נטענת בקדמת האתר, היא מתגלה בצורה הטובה ביותר באמצעות סורק בצד השרת אשר יכול לפקח על ביצוע שינויים במערך קבצי האתר.