據(jù)外媒 12 月 26 日?qǐng)?bào)道，WordPress 團(tuán)隊(duì)于 2014 年發(fā)現(xiàn)并刪除的 14 個(gè) WordPress 惡意插件如今仍然被數(shù)百個(gè)網(wǎng)站使用。這些惡意插件可能允許攻擊者遠(yuǎn)程執(zhí)行代碼，導(dǎo)致網(wǎng)站信息泄露。目前，WordPress 團(tuán)隊(duì)已經(jīng)提供了應(yīng)對(duì)措施。

  WordPress 團(tuán)隊(duì) 2014 年初披露 14 個(gè) WordPress 插件存在惡意代碼，能夠允許攻擊者在被劫持的網(wǎng)站上插入 SEO 垃圾郵件鏈接，從而通過(guò)郵件獲得該網(wǎng)站的 URL 和其他詳細(xì)信息。直至 2014 年底，官方才從目錄中刪除了這些惡意插件。

  WordPress 惡意插件死灰復(fù)燃

  WordPress 團(tuán)隊(duì)最近發(fā)現(xiàn)官方插件目錄被人為更改，導(dǎo)致原本已屏蔽的舊插件頁(yè)面仍然可見(jiàn)，并且所有插件都包含有惡意代碼的頁(yè)面。這表明在官方刪除惡意插件的三年后仍有數(shù)百個(gè)站點(diǎn)還在使用著它們。

  為了保護(hù)用戶免受惡意插件的侵害，一些專家曾建議 WordPress 團(tuán)隊(duì)從官方插件目錄中刪除惡意插件時(shí)提醒網(wǎng)站所有者，但這一想法被 WordPress 團(tuán)隊(duì)以“可能致使站點(diǎn)面臨更大安全風(fēng)險(xiǎn)”的由否定。這個(gè)建議爭(zhēng)議的地方在于，它造成了一種道德和法律上的兩難境地：刪除插件能夠保護(hù)網(wǎng)站免受黑客攻擊，但同時(shí)也可能對(duì)網(wǎng)站一些功能造成破壞。

  目前，為了抵御一些主要的安全威脅，WordPress 開(kāi)發(fā)人員在發(fā)現(xiàn)被感染的插件后會(huì)將其回滾到最后一個(gè)“干凈”的版本，并將其作為一個(gè)新的更新強(qiáng)制安裝在所有受影響插件的站點(diǎn)上。這樣既能刪除惡意代碼、維護(hù)網(wǎng)站安全，同時(shí)也能保證網(wǎng)站功能不受影。