WordPress 插件出售之后被加入后门

就像 Chrome 扩展出售之后被加入广告程序，一款名叫 Display Widget 的 WordPress 插件出售之后被新拥有者加入了后门。Display Widget 原功能是被 WordPress 网站用于控制 Widget 的展示，在被 WordPress.org 团队移除前被超过 20 万网站使用。Stephanie Wells 是插件的最早开发者，她在将精力集中到高级版的插件之后，将开源版本出售。插件的新拥有者在 6 月 21 日释出了一个新版本，很快这个新版本被发现会从第三方服务器下载 38MB 的代码，收集网站的用户访问数据。在遭到用户投诉之后，WordPress.org 将其移除。但拥有者设法恢复了插件，释出了一个新版本 v2.6.1，再次被投诉再次被移除，但对方再次设法发布了新版本 2.6.2，最后一个版本是 9 月 2 日释出的 2.6.3。存在后门版本主要是  v2.6.1- 2.6.3。

转自 http://www.solidot.org/story?sid=53843