WordPress外挂DisplayWidgets查有后门，官方建议使用者尽快更换替代方案

2024-11-24 214

WordPress 几乎是现在部落客、媒体网站的首选平台，高自由度与丰富的外挂工具库让大家有口皆碑，近来有一款全球至少有 20 万个 WordPress 网站下载安装使用的知名外挂 Display Widgets ，被发现内含后门。

WordPress 知名外挂 Display Widgets 内含后门，请尽早更换替代品

Display Widgets 外挂在 WordPress 上也算小有名气，它的用途在于可根据不同网页与类别自订需要显示的字段而不需额外编写程式码，根据统计目前全球至少有 20 万个 WordPress 网站使用这款外挂，但日前 WordPress 官方正式将这款外挂从数据库中彻底移除。

Display Widgets 这款外挂本来是个好东西，但在 5 月时原作者将其出售给其他开发者，然而新开发者竟是心怀不轨的坏东西，这些后门正是由新开发者所植入，连续制作三个含有后门的版本并怂恿使用者升级，当使用者一时不察安装后，坏心眼的新开发者就能在使用者的网站上为非作歹。这个后门的主要用途是让坏心眼的新开发者能够在目标网站上任意发表和删除，而他们行事还算小心翼翼，为了怕被正牌网站管理员发现有异常垃圾内容出现，仅对没有登入账号的使用者展示垃圾讯息。

※图片来源

在近三个月来，新开发者三番两次企图上传有后门的版本到数据库中，而 WordPress 官方已经四度从外挂数据库中删除，日前更决定不再允许这款外挂上架到 WordPress 。上周， WordPress 官方发表仅提供给已安装外挂使用者来更新的不含后门 2.7 版本，亦同时发出声明表示 Display Widgets 已不具可信度，建议使用者将该外挂改换成其他替代品，未来官方会完全移除掉这款外挂的支援。

◎资料来源：BleepingComputer、SC Magazine

2018-01-06 15:50:00