Wat doet Display Widgets?
Display Widgets is een populaire plugin dat gebruikt wordt om widgets in de zijbalken aan en uit te zetten.
Niet meer ondersteund
WordPress heeft deze plugin tot 4 keer toe uit zijn voorraad goedgekeurde plugins gehaald. Waarschijnlijk ditmaal definitief.
Wat is er aan de hand?
Wordfence, een vooraanstaande beveiligingsplugin, heeft een artikel gepubliceerd met de resultaten van hun onderzoek naar de plugin Display Widgets en hun eigenaren.
Misdaadverhaal
Dit artikel leest zich als een misdaadverhaal…
De plugin Display Widgets is door de eigenaar verkocht op 21 juni en de nieuwe eigenaar heeft versie 2.6.0 vrij gegeven.
In een van de meegeleverde bestanden (geolocation.php) staat code waarmee een “backdoor” wordt gerealiseerd waarmee de nieuwe eigenaar toegang heeft tot je website. Hij kan dankzij deze backdoor je content wijzigen en verwijderen. Verder wordt deze toegang misbruikt om spam te verspreiden via je website. Ben je ingelogd, dan zie je dat niet.
Onderzoek
Uit onderzoek van Wordfence lijkt er een bedrijf uit Engeland achter deze plugin te zitten. Dit bedrijf koopt goedlopende plugins op. Eigenaren lijken uit de VS te komen, maar er zijn ook aanwijzingen dat Rusland hierachter zit.
Ben je geïnteresseerd in de technische kant van het verhaal? Ook daarin is Wordfence heel open in het artikel. De moeite waard dus om te lezen.
Waarschuwing voor de toekomst
Waar we dus echt rekening mee moeten gaan houden is het feit dat populaire plugins verkocht kunnen worden aan dubieuze partijen. Daarom is het goed om af en toe je plugins na te lopen om te kijken of ze nog door WordPress ondersteund worden. Is dit niet het geval, dan toch maar eens op zoek naar een alternatief…
Alternatief Display Widgets
Over alternatieven gesproken… Nadat ik alle websites van mijn klanten, die een onderhoudscontract met met hebben afgesloten, heb nagelopen, ben ik op zoek gegaan naar een alternatief.
Want Display Widgets had niet voor niets 200.000 gebruikers.
Dit alternatief heb ik gevonden in de plugin Dynamic Widgets door Qurl. Het is even puzzelen, maar het werkt als een tierelier.
Dus, zo snel mogelijk Display Widgets deactiveren en verwijderen en vervangen door Dynamic Widgets (of een andere plugin uit het WordPress plugin reservoir).
Meer over beveiliging weten?
Lees dan eens deze artikelen: