最近WordPress圈子真的是不太平,先是有插件因為有惡意代碼被WordPress官方移除,后有WordPress因為授權原因放棄使用React框架,導致WordPress 5.0的新編輯器都要重構,這兩天,又有一款插件因為包含spam代碼被WordPress官方從插件目錄永久移除。
SI CAPTCHA Anti-Spam插件是一款給WordPress增加一張驗證碼的圖片,保證WordPress不被spam騷擾,這款插件除了能用在WordPress網站上,也可以用在bbPress,BuddyPress,Jetpact和WooCommerce,在被移除之前,這款插件有超過30萬的激活量。
這款插件的創始人是Mike Challis,他說一個叫fastsecure的ID在2017年6月成為SI CAPTCHA Anti-Spam插件的新所有者,Mike Challis并不知道這款插件的新所有者的計劃,但是他在WordPress官方發布了一篇文章,告訴用戶如果正在使用這款插件,需要從自己的WordPress網站上刪除這款插件。
在文章中,Mike Challis說插件的新所有者嘗試把一些代碼植入到他收購的一些WordPress插件中,并且會嘗試鏈接他自己的第三方服務器,并且通過這些代碼嘗在安裝插件的WordPress網站中植入自己的付費廣告。
SI CAPTCHA Anti-Spam插件在3.0.1和3.0.2版本中有惡意代碼,但是這些惡意代碼并沒有起作用。
這款插件的惡意代碼在3.0.3版本被移除,但是為了安全期間,也為了防止這款插件新的所有者發布新的包含惡意代碼的版本,WordPress官方這次很果斷的從WordPress官方目錄移除了這款插件。也建議用戶做一個選擇,為了安全移除這款插件,并且使用和這款插件功能類似的WordPress插件: AntiSpam by CleanTalk, Simple Google reCAPTCHA, 和 CAPTCHA Code。
這個事情再次說明了WordPress插件安全性存在問題,而且,從近期的事件來看,因為WordPress插件作者很難有盈利,而且還要一直免費升級,更新功能,出售插件可能是一個不錯的辦法,但如果出售了插件,還是建議能及時通知WordPress官方,讓WordPress官方在所有WordPress網站后臺的插件列表里設置提醒,這樣可以讓用戶有一個心理準備,不然這種事情出現的多了,WordPress可能就會被大家懷疑甚至拋棄。
最后,如果您還在使用這款插件,請馬上從自己的WordPress網站刪除吧。
新主題官方微信公眾號
掃碼關注新主題(XinTheme)官方公眾號,本站動態早知道。
發布本站最新動態(新主題發布、主題更新)和WordPress相關技術文章。