Display Widgets插件含有恶意代码从WordPress官方下线

Display Widgets 是一款收录在 WordPress 官方，并且有超过 20 万次安装下载量的插件，已经被 WordPress 官方强制下线，原因也比较尴尬，是因为这款插件有恶意代码，而且是插件作者主动植入的恶意代码，而不是第三方恶意植入的。之前无论是主题还是插件，如果有问题，大多数都是因为安全漏洞被植入恶意代码，而这款插件是作者植入的恶意代码，这个就有些尴尬了，不知道插件作者的动机是什么。

发现这个问题的是一个 SEO 顾问，他发现问题之后，及时向 WordPress 插件团队做了报告，WordPress 官方插件团队在仔细检测了这个插件之后，确认 Display Widgets 插件作者插入了代码，这些代码可以不经过授权就可以获取 WordPress 网站的访客数据，并且向网站内容插入黑链。

WordPress 著名的安全插件 Wordfence 也在第一时间发布了一篇文章，警告用户如果安装了名为 Display Widgets 的插件或者有相似名称的插件要及时删除，因为这款插件有恶意代码，并及时整理了整件事情的来龙去脉（所有时间均为美国时间）:

2017 年 6 月 21 号：Display Widgets 插件作者在 WordPress 官方论坛宣称，已经将插件卖给了其他人；这款插件当时的版本是：2.6.0;

2017 年 6 月 22 号：一个美国的 SEO 顾问，通过邮件告知 WordPress 官方，Display Widgets 插件含有恶意代码；

2017 年 6 月 23 号：Display Widgets 插件从 WordPress 官方插件库移除，在 WordPress 官方论坛针对这款插件还有一个讨论帖子（点击查看）；这里最不寻常的是，Display Widgets 只有 200K，而更新一个版本之后竟然有 38M，这绝对是不正常的情况！

2017 年 6 月 30 号：Display Widgets 发布了 2.6.1 版本，这个版本确认有大量的恶意代码植入，插件有一个文件名为：geolocation.php，允许插件作者在任何安装了 Display Widgets 插件的 WordPress 程序的网站上未经授权的发布、编辑任何文章，这已经是非常大的权限，可以修改文章内容，插入恶意代码，而这一些都是 WordPress 站长不知情的；

2017 年 7 月 1 号：Display Widgets 插件再次从 WordPress 官方插件仓库移除；

2017 年 7 月 6 号：Display Widgets 插件发布 2.6.2 版本，这个版本依然包含大量的恶意代码，依然会获取用户的数据；

2017 年 7 月 23 号：一个帖子在 WordPress 核心功能讨论区发布，是关于 Display Widgets 插件包含恶意代码的，为了增加可信度，还把 google 的检测见过也贴上了（点击查看）；

2017 年 7 月 24 号：Display Widgets 插件再次被 WordPress 插件团队从 WordPress 官方移除；

2017 年 9 月 2 号：Display Widgets 插件发布 2.6.3 版本，依然包含了之前的恶意代码；

2017 年 9 月 7 号：一个用户在 Display Widgets 插件官方论坛再次确认，Display Widgets 插件包含恶意代码，会获取 WordPress 网站的权限；

2017 年 9 月 8 号：Display Widgets 插件作者公开回应：说 Display Widgets 插件 2.6.3 版本已经修复了之前的漏洞，如果用户发现该插件依然包含恶意代码，建议用户清除 WordPress 缓存并且升级 Display Widgets 插件插件到最新版，并且说在数据库的 wp_options 表中也看不到任何的相关恶意信息；

这款插件从 2.6.1 版本到 2.6.3 版本都包含恶意代码，并且以木马后门的形式存在，持续了超过 75 天，很明显，这是插件作者的主动行为，而且插件作者的声明也说，仅仅只有 100 个网站是受害者，但这款插件有 20 万的下载量，所以，回顾整个时间可以看出来，这是一件有预谋的恶意植入事件。

2017 年 9 月 8 号： Display Widgets 插件第四次从 WordPress 官方移除，但希望这次是永久的，而不会再有后续的版本和时间发酵，但这种事情很难说，之前有一款主题包含恶意代码，但几个月之后，确认没有任何恶意代码之后，依然再次在 WordPress 官方上线；

2017 年 9 月 12 号：WordPress 官方插件团队确认 Display Widgets 插件发布 2.7.0 版本并且这是一个纯净的，不包含任何恶意代码和后门的插件版本，建议各位升级，但如果您不想使用这款插件，直接删除即可，这款插件也恢复到了 2.0.5 版本，这是未发现恶意代码之前的版本。

其实除了 Display Widgets 插件，还有一些插件可以实现类似的功能，比如：Widget Options、Custom Sidebars、Content Aware Sidebars 等。

这个事件也使 WordPress 官方插件团队意识到，他们需要改进和用户的沟通方式，确保类似的事情不在发生。

如果您依然在使用 Display Widgets 插件，建议您直接删除吧！