據(jù)外媒 12 月 26 日報道，WordPress 團隊于 2014 年發(fā)現(xiàn)并刪除的 14 個 WordPress 惡意插件如今仍然被數(shù)百個網(wǎng)站使用。這些惡意插件可能允許攻擊者遠程執(zhí)行代碼，導(dǎo)致網(wǎng)站信息泄露。目前，WordPress 團隊已經(jīng)提供了應(yīng)對措施。

  WordPress 團隊 2014 年初披露 14 個 WordPress 插件存在惡意代碼，能夠允許攻擊者在被劫持的網(wǎng)站上插入 SEO 垃圾郵件鏈接，從而通過郵件獲得該網(wǎng)站的 URL 和其他詳細信息。直至 2014 年底，官方才從目錄中刪除了這些惡意插件。

  WordPress 惡意插件死灰復(fù)燃

  WordPress 團隊最近發(fā)現(xiàn)官方插件目錄被人為更改，導(dǎo)致原本已屏蔽的舊插件頁面仍然可見，并且所有插件都包含有惡意代碼的頁面。這表明在官方刪除惡意插件的三年后仍有數(shù)百個站點還在使用著它們。

  為了保護用戶免受惡意插件的侵害，一些專家曾建議 WordPress 團隊從官方插件目錄中刪除惡意插件時提醒網(wǎng)站所有者，但這一想法被 WordPress 團隊以“可能致使站點面臨更大安全風(fēng)險”的由否定。這個建議爭議的地方在于，它造成了一種道德和法律上的兩難境地：刪除插件能夠保護網(wǎng)站免受黑客攻擊，但同時也可能對網(wǎng)站一些功能造成破壞。

  目前，為了抵御一些主要的安全威脅，WordPress 開發(fā)人員在發(fā)現(xiàn)被感染的插件后會將其回滾到最后一個“干凈”的版本，并將其作為一個新的更新強制安裝在所有受影響插件的站點上。這樣既能刪除惡意代碼、維護網(wǎng)站安全，同時也能保證網(wǎng)站功能不受影。