WordPress 幾乎是現在部落客、媒體網站的首選平台,高自由度與豐富的外掛工具庫讓大家有口皆碑,近來有一款全球至少有 20 萬個 WordPress 網站下載安裝使用的知名外掛 Display Widgets ,被發現內含後門。
WordPress 知名外掛 Display Widgets 內含後門,請儘早更換替代品
Display Widgets 外掛在 WordPress 上也算小有名氣,它的用途在於可根據不同網頁與類別自訂需要顯示的欄位而不需額外編寫程式碼,根據統計目前全球至少有 20 萬個 WordPress 網站使用這款外掛,但日前 WordPress 官方正式將這款外掛從資料庫中徹底移除。
Display Widgets 這款外掛本來是個好東西,但在 5 月時原作者將其出售給其他開發者,然而新開發者竟是心懷不軌的壞東西,這些後門正是由新開發者所植入,連續製作三個含有後門的版本並慫恿使用者升級,當使用者一時不察安裝後,壞心眼的新開發者就能在使用者的網站上為非作歹。這個後門的主要用途是讓壞心眼的新開發者能夠在目標網站上任意發表和刪除,而他們行事還算小心翼翼,為了怕被正牌網站管理員發現有異常垃圾內容出現,僅對沒有登入帳號的使用者展示垃圾訊息。
※圖片來源
在近三個月來,新開發者三番兩次企圖上傳有後門的版本到資料庫中,而 WordPress 官方已經四度從外掛資料庫中刪除,日前更決定不再允許這款外掛上架到 WordPress 。上週, WordPress 官方發表僅提供給已安裝外掛使用者來更新的不含後門 2.7 版本,亦同時發出聲明表示 Display Widgets 已不具可信度,建議使用者將該外掛改換成其他替代品,未來官方會完全移除掉這款外掛的支援。
◎資料來源:BleepingComputer、SC Magazine