Display Widgets是一款收录在WordPress官方,并且有超过20万次安装下载量的插件,已经被WordPress官方强制下线,原因也比较尴尬,是因为这款插件有恶意代码,而且是插件作者主动植入的恶意代码,而不是第三方恶意植入的。之前无论是主题还是插件,如果有问题,大多数都是因为安全漏洞被植入恶意代码,而这款插件是作者植入的恶意代码,这个就有些尴尬了,不知道插件作者的动机是什么;
发现这个问题的是一个SEO顾问,他发现问题之后,及时向WordPress插件团队做了报告,WordPress官方插件团队在仔细检测了这个插件之后,确认Display Widgets插件作者插入了代码,这些代码可以不经过授权就可以获取WordPress网站的访客数据,并且向网站内容插入黑链。
Wordfence,WordPress著名的安全插件也在第一时间发布了一篇文章,警告用户如果按照了名为Display Widgets的插件或者有相似名称的插件要及时删除,因为这款插件有恶意代码,并及时整理了整件事情的来龙去脉(所有时间均为美国时间):
2017年6月21号:Display Widgets插件作者在WordPress官方论坛宣称,已经将插件卖给了其他人;这款插件当时的版本是:2.6.0;
2017年6月22号:一个美国的SEO顾问,通过邮件告知WordPress官方,Display Widgets插件含有恶意代码;
2017年6月23号:Display Widgets插件从WordPress官方插件库移除,在WordPress官方论坛针对这款插件还有一个讨论帖子:点击查看;这里最不寻常的是,Display Widgets只有200K,而更新一个版本之后竟然有38M,这绝对是不正常的情况!
2017年6月30号:Display Widgets发布了2.6.1版本,这个版本确认有大量的恶意代码植入,插件有一个文件名为:geolocation.php,允许插件作者在任何安装了Display Widgets插件的WordPress程序的网站上未经授权的发布,编辑任何文章,这已经是非常大的权限,可以修改文章内容,插入恶意代码,而这一些都是WordPress站长不知情的;
2017年7月1号:Display Widgets插件再次从WordPress官方插件仓库移除;
2017年7月6号:Display Widgets插件发布2.6.2版本,这个版本依然包含大量的恶意代码,依然会获取用户的数据;
2017年7月23号:一个帖子在WordPress核心功能讨论区发布,是关于 Display Widgets插件包含恶意代码的,为了增加可信度,还把google的检测见过也贴上了,点击查看;
2017年7月24号:Display Widgets插件再次被WordPress插件团队从WordPress官方移除;
在沉寂很久之后,2017年9月2号,Display Widgets插件发布2.6.3版本,依然包含了之前的恶意代码;
2017年9月7号:一个用户在Display Widgets插件官方论坛再次确认,Display Widgets插件包含恶意代码,会获取WordPress网站的权限;
2017年9月8号:Display Widgets插件作者公开回应:说Display Widgets插件2.6.3版本已经修复了之前的漏洞,如果用户发现该插件依然包含恶意代码,建议用户清除WordPress缓存并且升级Display Widgets插件插件到最新版,并且说在数据库的 wp_options表中也看不到任何的相关恶意信息;
但是这款插件从2.6.1版本到2.6.3版本都包含恶意代码,并且以木马后门的形式存在,持续了超过75天,很明显,这是插件作者的主动行为,而且插件作者的声明也说,仅仅只有100个网站是受害者,但这款插件有20万的下载量,所以,回顾整个时间可以看出来,这是一件有预谋的恶意植入事件。
2017年9月8号: Display Widgets插件第四次从WordPress官方移除,但希望这次是永久的,而不会再有后续的版本和时间发酵,但这种事情很难说,之前有一款主题包含恶意代码,但几个月之后,确认没有任何恶意代码之后,依然再次在WordPress官方上线;
2017年9月12号:WordPress官方插件团队确认Display Widgets插件发布2.7.0版本并且这是一个纯净的,不包含任何恶意代码和后门的插件版本,建议各位升级,但如果您不想使用这款插件,直接删除即可,这款插件也恢复到了2.0.5版本,这是未发现恶意代码之前的版本。
除了Display Widgets插件,还有一些插件可以实现类似的功能,比如: Widget Options;Custom Sidebars;Content Aware Sidebars等;
这个事件也使WordPress官方插件团队意识到,他们需要改进和用户的沟通方式,确保类似的事情不在发生。
如果您依然在使用Display Widgets插件,建议您直接删除吧!
新主题官方微信公众号
扫码关注新主题(XinTheme)官方公众号,本站动态早知道。
发布本站最新动态(新主题发布、主题更新)和WordPress相关技术文章。