專門提供WordPress安全外掛程式的Wordfence上周指出,知名的WordPress外掛程式Display Widgets含有後門,將允許作者於採用該外掛的WordPress網站上發布任何內容,並建議使用者立即移除它。
Display Widgets的功能在於可根據不同的網頁、類別、客製化分類或WPML語言以自動變更側邊欄位的內容,以免除使用者手動製作眾多側邊欄位的困擾,估計有超過20萬名WordPress用戶正在使用它。
Wordfence發現,Display Widgets的作者不斷利用該後門於各個採用它的WordPress網站發布垃圾內容,該後門允許作者更新或移除WordPress網站上的內容,還能避免登入的WordPress用戶看到這些內容。
即使WordPress.org曾經把它自外掛資料庫中移除,但Display Widgets作者卻鍥而不捨地上傳含有後門的版本,這3個月以來,WordPress.org總計刪了它4次。(來源:Wordfence)
上周WordPress.org發布了 未含後門的Display Widgets 2.7版,宣稱它與尚未遭植入後門的Display Widgets 2.0.5版一樣,是個乾淨的版本,主要供正在使用它的用戶升級。
然而,Display Widgets 2.7版只供既有用戶升級,並不允許新用戶安裝,WordPress.org認為Display Widgets的作者已經摧毀了使用者對該外掛程式的信任,因此已經將之移除,並建議需要相關功能的用戶或者更新,或者尋找其他的外掛程式。
事實上,Display Widgets的原始作者在今年6月就把該外掛程式賣掉了,作怪的是Display Widgets的新主人,從接手後所發表的Display Widgets 2.6.0到2.6.3都含有後門。
線