Hlavní navigace

Prodaný plugin pro WordPress instaloval backdoor

Petr Krčmář

Plugin Display Widgets, určený pro populární redakční systém WordPress, přidával svým uživatelům nepříjemný dárek v podobě backdooru. Z repozitáře na WordPress.org byl už odstraněn, ale pokud jej používáte, měli byste své weby zkontrolovat. Jeho hlavní funkce umožňuje podrobně nastavovat, jaké widgety se na webu objevují. Od verze 2.6.1 (vydané 30. června) až do 2.6.3 (2. září) byl ovšem navíc přibalen zmíněný backdoor.

Původní autorkou je Stephanie Wells, která ovšem své dílo v květnu prodala novému vývojáři. Ten po měsíci vydal novou verzi a po dalším týdnu ještě jednu, tentokrát se zmíněným bezpečnostním problémem. Plugin byl opakovaně z repozitářů odstraňován, protože porušoval pravidla, autor ale postupně vytvářel upravené verze, které opět publikoval. Celkem má 200 000 uživatelů, ale napadeni nebyli pravděpodobně všichni. Ovšem není známo, jaká část z nich poctivě aktualizovala.

Našli jste v článku chybu?