Display Widgets插件含有恶意代码从WordPress官方下线

转载   Wopus  2017-09-14 11:03:51  82 人阅读  6 条评论

投放广告联系   诚邀合作伙伴   赞助我们   垃圾评论惩罚

Display Widgets 是一款收录在 WordPress 官方,并且有超过20万次安装下载量的插件,已经被 WordPress 官方强制下线,原因也比较尴尬,是因为这款插件有恶意代码,而且是插件作者主动植入的恶意代码,而不是第三方恶意植入的。之前无论是主题还是插件,如果有问题,大多数都是因为安全漏洞被植入恶意代码,而这款插件是作者植入的恶意代码,这个就有些尴尬了,不知道插件作者的动机是什么。

Display Widgets插件含有恶意代码从WordPress官方下线 最新资讯 第1张

发现这个问题的是一个 SEO 顾问,他发现问题之后,及时向WordPress 插件团队做了报告,WordPress 官方插件团队在仔细检测了这个插件之后,确认 Display Widgets 插件作者插入了代码,这些代码可以不经过授权就可以获取 WordPress 网站的访客数据,并且向网站内容插入黑链

WordPress 著名的安全插件 Wordfence 也在第一时间发布了一篇文章,警告用户如果安装了名为 Display Widgets 的插件或者有相似名称的插件要及时删除,因为这款插件有恶意代码,并及时整理了整件事情的来龙去脉(所有时间均为美国时间):

2017年6月21号:Display Widgets 插件作者在 WordPress 官方论坛宣称,已经将插件卖给了其他人;这款插件当时的版本是:2.6.0;

2017年6月22号:一个美国的 SEO 顾问,通过邮件告知 WordPress官方,Display Widgets 插件含有恶意代码;

2017年6月23号:Display Widgets 插件从 WordPress 官方插件库移除,在 WordPress 官方论坛针对这款插件还有一个讨论帖子(点击查看);这里最不寻常的是,Display Widgets 只有200K,而更新一个版本之后竟然有 38M,这绝对是不正常的情况!

2017年6月30号:Display Widgets 发布了 2.6.1 版本,这个版本确认有大量的恶意代码植入,插件有一个文件名为:geolocation.php,允许插件作者在任何安装了 Display Widgets 插件的 WordPress 程序的网站上未经授权的发布编辑任何文章,这已经是非常大的权限,可以修改文章内容,插入恶意代码,而这一些都是 WordPress 站长不知情的;

2017年7月1号:Display Widgets 插件再次从 WordPress 官方插件仓库移除;

2017年7月6号:Display Widgets 插件发布 2.6.2 版本,这个版本依然包含大量的恶意代码,依然会获取用户的数据;

2017年7月23号:一个帖子在 WordPress 核心功能讨论区发布,是关于 Display Widgets 插件包含恶意代码的,为了增加可信度,还把 google 的检测见过也贴上了(点击查看);

2017年7月24号:Display Widgets 插件再次被 WordPress 插件团队从 WordPress 官方移除;

2017年9月2号:Display Widgets 插件发布 2.6.3 版本,依然包含了之前的恶意代码;

2017年9月7号:一个用户在 Display Widgets 插件官方论坛再次确认,Display Widgets 插件包含恶意代码,会获取 WordPress 网站的权限;

2017年9月8号:Display Widgets 插件作者公开回应:说 Display Widgets 插件 2.6.3 版本已经修复了之前的漏洞,如果用户发现该插件依然包含恶意代码,建议用户清除 WordPress 缓存并且升级 Display Widgets 插件插件到最新版,并且说在数据库的 wp_options 表中也看不到任何的相关恶意信息;

这款插件从2.6.1版本到2.6.3版本都包含恶意代码,并且以木马后门的形式存在,持续了超过75天,很明显,这是插件作者的主动行为,而且插件作者的声明也说,仅仅只有100个网站是受害者,但这款插件有20万的下载量,所以,回顾整个时间可以看出来,这是一件有预谋的恶意植入事件。

2017年9月8号: Display Widgets 插件第四次从 WordPress 官方移除,但希望这次是永久的,而不会再有后续的版本和时间发酵,但这种事情很难说,之前有一款主题包含恶意代码,但几个月之后,确认没有任何恶意代码之后,依然再次在 WordPress 官方上线;

2017年9月12号:WordPress 官方插件团队确认 Display Widgets 插件发布 2.7.0 版本并且这是一个纯净的,不包含任何恶意代码和后门的插件版本,建议各位升级,但如果您不想使用这款插件,直接删除即可,这款插件也恢复到了 2.0.5 版本,这是未发现恶意代码之前的版本。

其实除了 Display Widgets 插件,还有一些插件可以实现类似的功能,比如:Widget Options、Custom Sidebars、Content Aware Sidebars等。

这个事件也使 WordPress 官方插件团队意识到,他们需要改进和用户的沟通方式,确保类似的事情不在发生。

如果您依然在使用 Display Widgets 插件,建议您直接删除吧!

历史上的今天:

文章标签: ,   ,  
温馨提示:文章内容仅代表作者个人观点,不代表boke112导航赞同其观点和对其真实性负责!
版权声明:本文为转载文章,来源于 Wopus ,版权归原作者所有,欢迎分享本文,转载请保留出处!

 发表评论


  1. 历史趣谈
    历史趣谈 【举人】 @回复

    没职业素养的开发者

  2. 明月登楼的博客
    明月登楼的博客 【王爷】 @回复

    WordPress 官方要加强这方面的监管了!

  3. 喵喵喵博客
    喵喵喵博客 【书童】 @回复

    不明白这插件作者怎么想的。。。

  4. 小萝博客
    小萝博客 【状元】 @回复

    少装点插件的好

  5. 龙笑天
    龙笑天 【状元】 @回复

    对这插件作者真是无语,把所有人都当傻瓜啊… [哈哈]

    • 懿古今
      懿古今【村长】2017-09-15 10:48  回复

      @龙笑天是的,难道有几十万安装,竟然来这一招,这样真的能赚到钱?想不明白