Użytkownicy WordPressa powinni mieć się na baczności. Nieopatrznie zainstalowana wtyczka może być przyczyną utraty kontroli nad serwisem i zalania go powodzią spamu.

WordPress to popularny system zarządzania treścią. Jest bardzo łatwy do instalacji dzięki instalatorowi w panelu hostingowym, stosunkowo prosty w obsłudze, a jednocześnie wyposażony w liczne funkcje, które umożliwiają jego rozbudowę do pełnowymiarowego serwisu. Nic dziwnego, że stanowi domyślny CMS dla wielu twórców witryn i minisite’ów. Korzystają z niego również domainerzy, którzy chcą lepiej wypromować swoje adresy w internecie, tworząc pod nimi strony z wartościową treścią.

Jednym ze sposobów na rozbudowę strony w WordPressie jest instalacja wtyczek. Pozwalają one na pozwalają na usprawnienie lub uzupełnienie funkcji, wyposażenie serwisu w przydatne narzędzia, np. diagnostyczne lub ochronne. Niestety sprawa często wygląda prosto jedynie w teorii. Choć wiele wtyczek faktycznie ulepsza działanie strony, to jednak również ją obciąża. Niektóre wchodzą ze sobą w konflikt, jeszcze inne okazują się… malwarem.

Tak jest w przypadku wtyczki Display Widgets. Serwis zajmujący się cyberbezpieczeństwem i ochroną własności intelektualnej w internecie doradza jej natychmiastowe usunięcie. Cztery ostatnie edycje tego pluginu zawierały kod, umożliwiający jego autorom publikację dowolnych treści w serwisie, w którym ta wtyczka została zainstalowana. Twórcy backdooru wykorzystywali swoje dzieło do publikacji spamu na łamach witryn używających tej wtyczki. Według danych z repozytorium WordPressa Display Widgets wykorzystywana jest przez ok. 200 tys. stron. Wtyczka była usuwana z bazy WordPressa trzykrotnie i za każdym razem „wracała”. Jej ostatnie wydanie również zostało usunięte po zgłoszeniu zagrożeń związanych z jej kodem.

Co ciekawe, za malware przemycony do pluginu nie odpowiadają autorzy Display Widgets. 21 czerwca wtyczka została sprzedana przeze jej twórcę za pośrednictwem forum WordPress.org użytkownikowi o nazwie „displaywidget”, który następnie wypuścił jej wersję 2.6.0. Po usunięciu tej edycji pojawiła się kolejna wersja pluginu: 2.6.1, a po jej usunięciu – 2.6.2 i 2.6.3. Zgodnie z opisem w repozytorium wtyczka Display Widgets umożliwia modyfikację paneli bocznych, posiada również funkcje związane z optymalizacją taksonomii.

Korzystając z wtyczek w WordPressie, warto pamiętać o trzech zasadach:
1. Nie instaluj wtyczki, jeśli naprawdę jej nie potrzebujesz.
2. Zanim zainstalujesz wtyczkę, dobrze zapoznaj się z zasadą jej działania i opiniami na jej temat
3. Kasuj wtyczki, których już nie używasz.

Tagi: cyberbezpieczeństwo, Display Widgets, malware, spam, Wordpress