Display Widgets, плагин, используемый на более чем 200 тыс. сайтов, был удален из каталога WordPress.org из-за того, что его авторы добавили вредоносный код. SEO-консультант Дэвид Лоу первым привлек внимание команды WordPress, обнаружив, что Display Widgets вставляет контент на сайты с внешних серверов, а также собирает данные о посетителях без их разрешения. Дэвид несколько раз писал об этом на форумах WordPress.org, чтобы предупредить других пользователей.
Wordfence в течение последних нескольких месяцев уже предупреждал своих клиентов о вреде данного плагина. Согласно их независимому исследованию, плагин включает бэкдор, который позволяет автору плагина публиковать спам-контент на сайтах, где установлен Display Widgets. Он скрывал от зарегистрированных пользователей данный контент.
На этой неделе Pagely заблокировали плагин Display Widgets на своей хостинг-платформе:
«С целью безопасности наших клиентов мы запретили использовать плагин на наших сайтах. Плагин будет заблокирован в нашей сети до тех пор, пока мы не увидим, что кто-то взял на себя ответственность за этот плагин и исправил его код».
Display Widgets не так давно был перепродан. Он был куплен у команды, ответственной за Formidable Forms. Предыдущие владельцы плагина вывесили свое предупреждение в Twitter, рекомендуя пользователям удалить это решение со своих сайтов.
Пока неясно, был ли плагин приобретен исключительно для распространения вредоносного ПО. Его новые владельцы довольно настойчиво стремились протолкнуть его обратно на WordPress.org после каждого найденного в нем нарушения.
Пользователям Display Widgets рекомендуется обновить плагин до версии 2.7 или удалить его
Пользователи вряд ли могут узнать о том, что у них выполняется вредоносный код, пока им не сообщит об этом их хостинг, компания безопасности или третья сторона. Они не получат уведомлений в админке WordPress о том, что плагин удален из каталога WordPress.org. Поскольку Display Widgets был достаточно популярным плагином, вероятно, есть много сайтов, где он по-прежнему активен, и владельцы этих сайтов, скорее всего, не догадываются о том, что публикуют спам-контент.
Вчера команда плагинов WordPress.org выпустила уведомление о том, что Display Widgets 2.7 – чистая версия плагина, которая возвращает его к версии 2.0.5, когда еще не было вредоносного кода.
«Мы оставим эту версию для развертывания обновлений, но в настоящее время мы НЕ БУДЕМ ее применять. Новый владелец фактически уничтожил все доверие к этому плагину.
Примечание: Вы не можете посещать страницу плагина или скачивать его. Плагин закрыт. Он не поддерживается, не работает. Потому, если он у вас установлен, обновите его. В противном случае воспользуйтесь другими решениями»
Display Widgets теперь, скорее всего, окажется на кладбище заброшенных плагинов, однако есть и другие плагины для добавления условного вывода виджетов к WordPress-сайтам. Лишь некоторые популярные альтернативы – модуль Widget Visibility в Jetpack, Widget Options, Custom Sidebars, Content Aware Sidebars.
В данный момент команда плагинов WordPress.org не дает никаких уведомлений по поводу удаления или закрытия плагинов в каталоге, однако работа над улучшением обратной связи ведется. В одном из тикетов на Trac было выдвинуто предложение сделать отдельную публичную страницу для закрытых плагинов. Также было предложение выводить в каталоге WordPress.org причину того, почему был закрыт тот или иной плагин. В качестве доступных вариантов предлагались следующие:
- Проблемы с безопасностью
- Просьба автора
- Нарушение правил
- Нарушение лицензирования/товарных знаков
- Слияние в ядро
Проблема с Display Widgets была вынесена в публичную сферу – пользователи размещали свои исследования на форумах поддержки WordPress.org, и разные компании выдавали предупреждения о плагине. Тем не менее, многие плагины были отключены без каких-либо уведомлений об этом. Даже краткое пояснение, затрагивающее причины отключения, стало бы очень полезным для пользователей. Владельцы сайтов смогли бы понять, нужно ли им искать какие-либо альтернативы или же достаточно просто ждать, пока ситуация не будет решена.
Источник: wptavern.com
Вот так новость. Хорошо, однако, что у меня на сайте этот плагин деактевирован уже достаточно давно, а автоматическое обновление и вовсе отключено…
А что делать, если он не обновляется? Я жму обновить, написано, что он обновлён, а через минуту снова старая версия и снова просит обновление.
Согласен с Анатолием, кто-то уже понял в чем загвоздка с обновлением данного плагина? Буду признателен за ответ.
Так и должно быть. Чистая версия 2.05, а самая новая 2.7, но 2.7 просто заглушка восстанавливающая последнюю чистую версию 2.05.