WordPress第三方工具栏插件被发现存在后门程序

知名的WordPress工具栏插件Display Widgets近期被发现含有后门程序并允许作者在网站上发布任意内容。

该插件主要功能是可以根据不同的网页以及类别等自定义需要显示的工具栏在不同页面的位置无需编写代码。

据统计全球至少有20万个 WordPress 站点使用这个插件,目前WordPress官方已经从插件库将其彻底移除。

但是该插件的作者依然锲而不舍的上传含有后门的版本,近三个月WordPress官方已经四次从插件库中移除。

WordPress第三方工具栏插件被发现存在后门程序

原作者已经出售该插件:

值得注意的是原作者已经在几个月将该插件出售给其他开发者,这些有后门的版本也是新开发者进行植入的。

这个恶意的新作者连续制作了三个含有后门的版本怂恿用户们升级,当安装该插件后恶意作者即可胡作非为。

而后门程序的主要功能则是可以让恶意作者在目标网站上发布任意和删除任意内容, 包括各种广告信息等等。

同时恶意作者避免被网站管理员发现异常还会隐藏垃圾内容, 只针对那些没有登录账号的用户展示垃圾信息。

WordPress官方建议用户更换:

尽管 WordPress 官方上周发布了不含后门的2.7版,但该版本仅供已经安装的用户升级禁止新用户激活插件。

看起来这种对策只是为了让仍在使用该插件的用户进行过渡,因为WordPress已经决定彻底移除掉这个插件。

WordPress官方目前已发布声明称该插件已经不再可信,同时建议使用该插件的用户立即更换其他替代插件。

本文来源 WordFence,由 山外的鸭子哥 整理编辑,其版权均为 WordFence 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
已赞1
哇哦恭喜您已成功屏蔽了蓝点网的小广告
   
百度网盘不限速下载器PanDownload v2.1.0版发布 满速下载网盘文件你家的宽带可能已经支持IPv6协议要不要设置试试看如何禁止系统自动更新到Windows 10 Version 1809版[视频]生命在于折腾系列 虚拟机里玩谷歌原生版安卓系统

发表评论