Display Widgets是一款收錄在WordPress官方，并且有超過20萬次安裝下載量的插件，已經(jīng)被WordPress官方強(qiáng)制下線，原因也比較尷尬，是因?yàn)檫@款插件有惡意代碼，而且是插件作者主動植入的惡意代碼，而不是第三方惡意植入的。之前無論是主題還是插件，如果有問題，大多數(shù)都是因?yàn)榘踩┒幢恢踩霅阂獯a，而這款插件是作者植入的惡意代碼，這個就有些尷尬了，不知道插件作者的動機(jī)是什么；

發(fā)現(xiàn)這個問題的是一個SEO顧問，他發(fā)現(xiàn)問題之后，及時(shí)向WordPress插件團(tuán)隊(duì)做了報(bào)告，WordPress官方插件團(tuán)隊(duì)在仔細(xì)檢測了這個插件之后，確認(rèn)Display Widgets插件作者插入了代碼，這些代碼可以不經(jīng)過授權(quán)就可以獲取WordPress網(wǎng)站的訪客數(shù)據(jù)，并且向網(wǎng)站內(nèi)容插入黑鏈。

Wordfence，WordPress著名的安全插件也在第一時(shí)間發(fā)布了一篇文章，警告用戶如果按照了名為Display Widgets的插件或者有相似名稱的插件要及時(shí)刪除，因?yàn)檫@款插件有惡意代碼，并及時(shí)整理了整件事情的來龍去脈（所有時(shí)間均為美國時(shí)間）:

2017年6月21號：Display Widgets插件作者在WordPress官方論壇宣稱，已經(jīng)將插件賣給了其他人；這款插件當(dāng)時(shí)的版本是：2.6.0;

2017年6月22號：一個美國的SEO顧問，通過郵件告知WordPress官方，Display Widgets插件含有惡意代碼；

2017年6月23號：Display Widgets插件從WordPress官方插件庫移除，在WordPress官方論壇針對這款插件還有一個討論帖子：點(diǎn)擊查看；這里最不尋常的是，Display Widgets只有200K，而更新一個版本之后竟然有38M，這絕對是不正常的情況！

2017年6月30號：Display Widgets發(fā)布了2.6.1版本，這個版本確認(rèn)有大量的惡意代碼植入，插件有一個文件名為：geolocation.php，允許插件作者在任何安裝了Display Widgets插件的WordPress程序的網(wǎng)站上未經(jīng)授權(quán)的發(fā)布，編輯任何文章，這已經(jīng)是非常大的權(quán)限，可以修改文章內(nèi)容，插入惡意代碼，而這一些都是WordPress站長不知情的；

2017年7月1號：Display Widgets插件再次從WordPress官方插件倉庫移除；

2017年7月6號：Display Widgets插件發(fā)布2.6.2版本，這個版本依然包含大量的惡意代碼，依然會獲取用戶的數(shù)據(jù)；

2017年7月23號：一個帖子在WordPress核心功能討論區(qū)發(fā)布，是關(guān)于 Display Widgets插件包含惡意代碼的，為了增加可信度，還把google的檢測見過也貼上了，點(diǎn)擊查看；

2017年7月24號：Display Widgets插件再次被WordPress插件團(tuán)隊(duì)從WordPress官方移除；

在沉寂很久之后，2017年9月2號，Display Widgets插件發(fā)布2.6.3版本，依然包含了之前的惡意代碼；

2017年9月7號：一個用戶在Display Widgets插件官方論壇再次確認(rèn)，Display Widgets插件包含惡意代碼，會獲取WordPress網(wǎng)站的權(quán)限；

2017年9月8號：Display Widgets插件作者公開回應(yīng)：說Display Widgets插件2.6.3版本已經(jīng)修復(fù)了之前的漏洞，如果用戶發(fā)現(xiàn)該插件依然包含惡意代碼，建議用戶清除WordPress緩存并且升級Display Widgets插件插件到最新版，并且說在數(shù)據(jù)庫的 wp_options表中也看不到任何的相關(guān)惡意信息；

但是這款插件從2.6.1版本到2.6.3版本都包含惡意代碼，并且以木馬后門的形式存在，持續(xù)了超過75天，很明顯，這是插件作者的主動行為，而且插件作者的聲明也說，僅僅只有100個網(wǎng)站是受害者，但這款插件有20萬的下載量，所以，回顧整個時(shí)間可以看出來，這是一件有預(yù)謀的惡意植入事件。

2017年9月8號： Display Widgets插件第四次從WordPress官方移除，但希望這次是永久的，而不會再有后續(xù)的版本和時(shí)間發(fā)酵，但這種事情很難說，之前有一款主題包含惡意代碼，但幾個月之后，確認(rèn)沒有任何惡意代碼之后，依然再次在WordPress官方上線；

2017年9月12號：WordPress官方插件團(tuán)隊(duì)確認(rèn)Display Widgets插件發(fā)布2.7.0版本并且這是一個純凈的，不包含任何惡意代碼和后門的插件版本，建議各位升級，但如果您不想使用這款插件，直接刪除即可，這款插件也恢復(fù)到了2.0.5版本，這是未發(fā)現(xiàn)惡意代碼之前的版本。

除了Display Widgets插件，還有一些插件可以實(shí)現(xiàn)類似的功能，比如： Widget Options；Custom Sidebars；Content Aware Sidebars等；

這個事件也使WordPress官方插件團(tuán)隊(duì)意識到，他們需要改進(jìn)和用戶的溝通方式，確保類似的事情不在發(fā)生。

如果您依然在使用Display Widgets插件，建議您直接刪除吧！