Display Widgets是一款收錄在WordPress官方，并且有超過(guò)20萬(wàn)次安裝下載量的插件，已經(jīng)被WordPress官方強(qiáng)制下線，原因也比較尷尬，是因?yàn)檫@款插件有惡意代碼，而且是插件作者主動(dòng)植入的惡意代碼，而不是第三方惡意植入的。之前無(wú)論是主題還是插件，如果有問(wèn)題，大多數(shù)都是因?yàn)榘踩┒幢恢踩霅阂獯a，而這款插件是作者植入的惡意代碼，這個(gè)就有些尷尬了，不知道插件作者的動(dòng)機(jī)是什么；

發(fā)現(xiàn)這個(gè)問(wèn)題的是一個(gè)SEO顧問(wèn)，他發(fā)現(xiàn)問(wèn)題之后，及時(shí)向WordPress插件團(tuán)隊(duì)做了報(bào)告，WordPress官方插件團(tuán)隊(duì)在仔細(xì)檢測(cè)了這個(gè)插件之后，確認(rèn)Display Widgets插件作者插入了代碼，這些代碼可以不經(jīng)過(guò)授權(quán)就可以獲取WordPress網(wǎng)站的訪客數(shù)據(jù)，并且向網(wǎng)站內(nèi)容插入黑鏈。

Wordfence，WordPress著名的安全插件也在第一時(shí)間發(fā)布了一篇文章，警告用戶如果按照了名為Display Widgets的插件或者有相似名稱的插件要及時(shí)刪除，因?yàn)檫@款插件有惡意代碼，并及時(shí)整理了整件事情的來(lái)龍去脈（所有時(shí)間均為美國(guó)時(shí)間）:

2017年6月21號(hào)：Display Widgets插件作者在WordPress官方論壇宣稱，已經(jīng)將插件賣給了其他人；這款插件當(dāng)時(shí)的版本是：2.6.0;

2017年6月22號(hào)：一個(gè)美國(guó)的SEO顧問(wèn)，通過(guò)郵件告知WordPress官方，Display Widgets插件含有惡意代碼；

2017年6月23號(hào)：Display Widgets插件從WordPress官方插件庫(kù)移除，在WordPress官方論壇針對(duì)這款插件還有一個(gè)討論帖子：點(diǎn)擊查看；這里最不尋常的是，Display Widgets只有200K，而更新一個(gè)版本之后竟然有38M，這絕對(duì)是不正常的情況！

2017年6月30號(hào)：Display Widgets發(fā)布了2.6.1版本，這個(gè)版本確認(rèn)有大量的惡意代碼植入，插件有一個(gè)文件名為：geolocation.php，允許插件作者在任何安裝了Display Widgets插件的WordPress程序的網(wǎng)站上未經(jīng)授權(quán)的發(fā)布，編輯任何文章，這已經(jīng)是非常大的權(quán)限，可以修改文章內(nèi)容，插入惡意代碼，而這一些都是WordPress站長(zhǎng)不知情的；

2017年7月1號(hào)：Display Widgets插件再次從WordPress官方插件倉(cāng)庫(kù)移除；

2017年7月6號(hào)：Display Widgets插件發(fā)布2.6.2版本，這個(gè)版本依然包含大量的惡意代碼，依然會(huì)獲取用戶的數(shù)據(jù)；

2017年7月23號(hào)：一個(gè)帖子在WordPress核心功能討論區(qū)發(fā)布，是關(guān)于 Display Widgets插件包含惡意代碼的，為了增加可信度，還把google的檢測(cè)見(jiàn)過(guò)也貼上了，點(diǎn)擊查看；

2017年7月24號(hào)：Display Widgets插件再次被WordPress插件團(tuán)隊(duì)從WordPress官方移除；

在沉寂很久之后，2017年9月2號(hào)，Display Widgets插件發(fā)布2.6.3版本，依然包含了之前的惡意代碼；

2017年9月7號(hào)：一個(gè)用戶在Display Widgets插件官方論壇再次確認(rèn)，Display Widgets插件包含惡意代碼，會(huì)獲取WordPress網(wǎng)站的權(quán)限；

2017年9月8號(hào)：Display Widgets插件作者公開(kāi)回應(yīng)：說(shuō)Display Widgets插件2.6.3版本已經(jīng)修復(fù)了之前的漏洞，如果用戶發(fā)現(xiàn)該插件依然包含惡意代碼，建議用戶清除WordPress緩存并且升級(jí)Display Widgets插件插件到最新版，并且說(shuō)在數(shù)據(jù)庫(kù)的 wp_options表中也看不到任何的相關(guān)惡意信息；

但是這款插件從2.6.1版本到2.6.3版本都包含惡意代碼，并且以木馬后門的形式存在，持續(xù)了超過(guò)75天，很明顯，這是插件作者的主動(dòng)行為，而且插件作者的聲明也說(shuō)，僅僅只有100個(gè)網(wǎng)站是受害者，但這款插件有20萬(wàn)的下載量，所以，回顧整個(gè)時(shí)間可以看出來(lái)，這是一件有預(yù)謀的惡意植入事件。

2017年9月8號(hào)： Display Widgets插件第四次從WordPress官方移除，但希望這次是永久的，而不會(huì)再有后續(xù)的版本和時(shí)間發(fā)酵，但這種事情很難說(shuō)，之前有一款主題包含惡意代碼，但幾個(gè)月之后，確認(rèn)沒(méi)有任何惡意代碼之后，依然再次在WordPress官方上線；

2017年9月12號(hào)：WordPress官方插件團(tuán)隊(duì)確認(rèn)Display Widgets插件發(fā)布2.7.0版本并且這是一個(gè)純凈的，不包含任何惡意代碼和后門的插件版本，建議各位升級(jí)，但如果您不想使用這款插件，直接刪除即可，這款插件也恢復(fù)到了2.0.5版本，這是未發(fā)現(xiàn)惡意代碼之前的版本。

除了Display Widgets插件，還有一些插件可以實(shí)現(xiàn)類似的功能，比如： Widget Options；Custom Sidebars；Content Aware Sidebars等；

這個(gè)事件也使WordPress官方插件團(tuán)隊(duì)意識(shí)到，他們需要改進(jìn)和用戶的溝通方式，確保類似的事情不在發(fā)生。

如果您依然在使用Display Widgets插件，建議您直接刪除吧！