Display Widgets-plugin viser uønskede reklamer på WordPress-websteder

En udbredt plugin til WordPress blev købt af en udvikler, der indførte spam og en bagdør i den. En anden udvikler har nu udsendt en renset version.

Pluginnen Display Widgets til WordPress er blevet hentet over 200.000 gange. Udvikleren solgte den i juni til en ny ejer, som udsendte version 2.6.0 af den.

En konsulent opdagede, at den nye version hentede programkode fra en ekstern server. Det førte til, at pluginnen blev fjernet fra WordPress' samling af plugins.

Den nye ejer lagde imidlertid en ny version op, 2.6.1. Den gav bagmanden mulighed for at lægge indhold ind på alle websider, der havde installeret pluginnen. Han udnyttede bagdøren til at vise reklamer.

Den inficerede udgave af pluginnen er nu igen fjernet fra WordPress' plugins.

Udvikler David Law har udsendt en version, der er renset for den skadelige kode.

Sikkerhedsfirmaet Wordfence har opdaget, at bagmanden sandsynligvis også stod bag uønskede annoncer, der blev spredt via pluginnen 404 to 301 i august sidste år.

Anbefaling

Brugere af Display Widgets bør opdatere til en renset version af pluginnen.

Links