知名的WordPress工具栏插件Display Widgets近期被发现含有后门程序并允许作者在网站上发布任意内容。该插件主要功能是可以根据不同的网页以及类别等自定义需要显示的工具栏在不同页面的位置无需编写代码。据统计全球至少有20万个 WordPress 站点使用这个插件,目前WordPress官方已经从插件库将其彻底移除。
但是该插件的作者依然锲而不舍的上传含有后门的版本,近三个月WordPress官方已经四次从插件库中移除并决定不再允许该插件上架至WordPress插件库。
原作者已经将该插件出售:
值得注意的是原作者已经在几个月将该插件出售给其他开发者,这些有后门的版本也是新开发者进行植入的。这个恶意的新作者连续制作了三个含有后门的版本怂恿用户们升级,当安装该插件后恶意作者即可胡作非为。
而后门程序的主要功能则是可以让恶意作者在目标网站上发布任意和删除任意内容,包括各种广告信息等等。同时恶意作者避免被网站管理员发现异常还会隐藏垃圾内容, 只针对那些没有登录账号的用户展示垃圾信息。
WordPress官方建议用户立即更换:
尽管 WordPress 官方上周发布了不含后门的2.7版,但该版本仅供已经安装的用户升级禁止新用户激活插件。看起来这种对策只是为了让仍在使用该插件的用户进行过渡,因为WordPress已经决定彻底移除掉这个插件。WordPress官方目前已发布声明称该插件已经不再可信,同时建议使用该插件的用户立即更换其他替代插件。