Strony na WordPressie z niebezpieczną wtyczką

Niedawno doszło do sprzedaży popularnej wtyczki przeznaczonej dla Wordpressa o nazwie Display Widgets. Twórcą tej wtyczki jest Stephanie Wells, która po skupieniu się na płatnej odmianie premium swojego dzieła, postanowiła sprzedać ogólnodostępną wersję innemu deweloperowi.

Niestety zaraz po przeniesieniu praw okazało się, że pojawiły się problemy z przejętą wtyczką. Nowy właściciel udostępnił nową wersję plugin’u miesiąc po objęciu popularnej wtyczki. Wersja ta nie stanowiła jeszcze zagrożenia dla użytkowników. Jak się jednak okazuje następna wersja przejawiała już zagrażające użytkownikom zachowania. Na wady w nowej wersji wtyczki zwrócił uwagę David Law, który jest twórcą konkurencyjnej wtyczki. Zgodnie z tym co twierdził Law:

Display Widgets naruszało warunki tworzenia oraz dystrybuowania pluginów poprzez pobieranie 38 MB nieznanych danych z zewnętrznego serwera.

Złośliwe działanie było związane m.in. z ukryciem we wtyczce mechanizmów służących do śledzenia ruchu na stronach, a nawet umieszczania nowych wpisów. Jak podają szacunki, około 20 000 stron internetowych mogło zostać zaatakowanych z powodu niebezpiecznego działania tej wtyczki – Brak aktualizacji mógł okazać się wybawieniem dla wielu webmasterów, gdyż nie dochodziło wtedy do uruchomienia złośliwych mechanizmów zawartych w Display Widgets.

Do usunięcia wtyczki Display Widgets dochodziło już 4 razy. Wszystko wskazuje na to, że plugin został usunięty z WordPressa na zawsze. Wyszło na jaw, że nowy właściciel wtyczki jest powiązany z usługą WP Devs. Zgodnie z zawartością ich witryny, zajmują się oni wtyczką dla WordPressa (szczególnie te starsze wersje). Właścicielami firmy są dwie osoby. Obywatel USA oraz Rosjanin.

Zainteresowanie wzbudziła sytuacja, w której doszło do aż czterokrotnego usuwania wtyczki z WordPressa mimo, iż już wcześniej sygnalizowano jej niebezpieczne działanie. Przedstawiciele WordPressa uzasadniają swoje postępowanie faktem, iż społeczność skupioną wokół WordPressa tworzą ochotnicy, którzy nie mają wyznaczonych określonych procedur. Jak się okazuje jedno ze zgłoszeń problemów z wtyczką wysłane przez Davida Law, zostało zamknięte przez moderatora, z uwagi na fakt, iż Law jest twórcą konkrecyjnego pluginu. Moderator odesłał wtedy zgłaszającego problem do support’u, lekceważąc zgłoszenie.

Zalecamy wszystkim użytkownikom WordPressa sprawdzenie czy niezabezpieczona wtyczka Display Widgets jest obecna na ich stronie. Jeżeli tak to należy ją jak najszybciej odinstalować.