Plugin generates spam posts when installed

Hi @pibeca,

Thanks for the heads up.

I don’t think this behavior of the plugin is right (not even for a free plugin, although it should be advertised somewhere before the user installs it).

It isn’t. Our plugin doesn’t create automatic pages or posts, so there must be something else going on.

I would like to know if this is a known behaviour, if it is some remanent code from the last update, or if it has been hacked.

It looks like (your copy of) the plugin has been hacked. If you download it from www.ads-software.com and compare it with the version you have installed, are there any differences?

The most alarming thing after this is that when we try to access one of these pages, we are redirected (using javascript on the body of the post – location.replace() )to the following website: https://superbpaper.com/?cid=2626

How did you find this redirection? You said our plugin inserted the snippet with the redirection, but a quick inspection to its source code reveals that this redirection isn’t there.

I’d say that your installation has been hacked, but I don’t know why or how. If there’s a vulnerability in our plugin, I’d like to discover it and fix it. Please, feel free to contact me at my email address (customers at nelio software dot com), if you need to exchange some sensitive data with me.

Also, I see your website is in Spanish as well as English. We’re based in Barcelona, Spain, so we can talk in Spanish if you want.

Regards,
David

Hola David,

Muchas gracias por tu rápida respuesta. Nosotros estamos en Madrid, así que sí, mejor en espa?ol. ??

La instalación del plugin la hemos realizado siempre desde la búsqueda de plugins de WordPress (Plugins > add new > search for keyword “nelio content” >instalar y activar), por lo que entiendo el código del plugin debería ser el mismo que si lo descargamos de www.ads-software.com y lo instalamos.

Antes de contactaros, nos descargamos el código “hackeado” del plugin desde nuestro FTP y lo estuvimos depurando, pero tampoco pudimos encontrar nada, pensamos que quizá en alguna de las llamadas a la api se pudiera a?adir esos contenidos.

De cualquier modo, hemos descargado el zip del plugin de www.ads-software.com (la nueva versión que se ha publicado esta ma?ana). Hemos comparado el contenido de los archivos de ambas versiones utilizando Ultracompare X para Mac, y hay bastantes diferencias en la mayoría de los archivos. Puedo enviarte un zip con el código “hackeado” por si quieres/necesitas echarle un vistazo, así como proporcionarte la información que nos muestra Google Search Console.

Hemos instalado la nueva versión de vuestro plugin también directamente desde el buscador de WordPress para ver si ocurría lo mismo y no ha dado esos problemas, por el momento todo es correcto, por lo que parece que en la nueva versión estaría solucionado.

Estaremos atentos a cómo evoluciona esta semana y, cualquier cosa que necesitéis, no dudes en contactarnos.

?Muchas gracias!

Un saludo,

Beatriz Avila,
Pibeca Solutions

Hola Beatriz,

Pues sí, si puedes pasarme el ZIP con el código te lo agradecería; me gustaría comprobar qué cambios ha habido exactamente. Nuestra dirección es: customers arroba nelio software punto com. A ver si conseguimos sacar algo en claro…

Un saludo,
David

We talked to Beatriz via email and, apparently, the issue did no longer occur with our plugin’s latest version (1.3.x). Even though we were unable to identify the root cause of this weird behavior, I’m marking this topic as resolved.