最近WordPress圈子真的是不太平,先是有插件因?yàn)橛袗阂獯a被WordPress官方移除,后有WordPress因?yàn)槭跈?quán)原因放棄使用React框架,導(dǎo)致WordPress 5.0的新編輯器都要重構(gòu),這兩天,又有一款插件因?yàn)榘瑂pam代碼被WordPress官方從插件目錄永久移除。
SI CAPTCHA Anti-Spam插件是一款給WordPress增加一張驗(yàn)證碼的圖片,保證WordPress不被spam騷擾,這款插件除了能用在WordPress網(wǎng)站上,也可以用在bbPress,BuddyPress,Jetpact和WooCommerce,在被移除之前,這款插件有超過30萬的激活量。
這款插件的創(chuàng)始人是Mike Challis,他說一個(gè)叫fastsecure的ID在2017年6月成為SI CAPTCHA Anti-Spam插件的新所有者,Mike Challis并不知道這款插件的新所有者的計(jì)劃,但是他在WordPress官方發(fā)布了一篇文章,告訴用戶如果正在使用這款插件,需要從自己的WordPress網(wǎng)站上刪除這款插件。
在文章中,Mike Challis說插件的新所有者嘗試把一些代碼植入到他收購的一些WordPress插件中,并且會嘗試鏈接他自己的第三方服務(wù)器,并且通過這些代碼嘗在安裝插件的WordPress網(wǎng)站中植入自己的付費(fèi)廣告。
SI CAPTCHA Anti-Spam插件在3.0.1和3.0.2版本中有惡意代碼,但是這些惡意代碼并沒有起作用。
這款插件的惡意代碼在3.0.3版本被移除,但是為了安全期間,也為了防止這款插件新的所有者發(fā)布新的包含惡意代碼的版本,WordPress官方這次很果斷的從WordPress官方目錄移除了這款插件。也建議用戶做一個(gè)選擇,為了安全移除這款插件,并且使用和這款插件功能類似的WordPress插件: AntiSpam by CleanTalk, Simple Google reCAPTCHA, 和 CAPTCHA Code。
這個(gè)事情再次說明了WordPress插件安全性存在問題,而且,從近期的事件來看,因?yàn)閃ordPress插件作者很難有盈利,而且還要一直免費(fèi)升級,更新功能,出售插件可能是一個(gè)不錯(cuò)的辦法,但如果出售了插件,還是建議能及時(shí)通知WordPress官方,讓W(xué)ordPress官方在所有WordPress網(wǎng)站后臺的插件列表里設(shè)置提醒,這樣可以讓用戶有一個(gè)心理準(zhǔn)備,不然這種事情出現(xiàn)的多了,WordPress可能就會被大家懷疑甚至拋棄。
最后,如果您還在使用這款插件,請馬上從自己的WordPress網(wǎng)站刪除吧。
新主題官方微信公眾號
掃碼關(guān)注新主題(XinTheme)官方公眾號,本站動態(tài)早知道。
發(fā)布本站最新動態(tài)(新主題發(fā)布、主題更新)和WordPress相關(guān)技術(shù)文章。