據(jù)外媒12月26日報道，WordPres團隊于2014年發(fā)現(xiàn)并刪除的14個WordPress 惡意插件如今仍然被數(shù)百個網(wǎng)站使用。這些惡意插件可能允許攻擊者遠程執(zhí)行代碼，導致網(wǎng)站信息泄露。目前，WordPress 團隊已經(jīng)提供了應對措施。

WordPress 團隊2014年初披露 14 個 WordPress 插件存在惡意代碼，能夠允許攻擊者在被劫持的網(wǎng)站上插入SEO垃圾郵件鏈接，從而通過郵件獲得該網(wǎng)站的URL和其他詳細信息。直至2014年底，官方才從目錄中刪除了這些惡意插件。

WordPress團隊最近發(fā)現(xiàn)官方插件目錄被人為更改，導致原本已屏蔽的舊插件頁面仍然可見，并且所有插件都包含有惡意代碼的頁面。這表明在官方刪除惡意插件的三年后仍有數(shù)百個站點還在使用著它們。

為了保護用戶免受惡意插件的侵害，一些專家曾建議WordPress團隊從官方插件目錄中刪除惡意插件時提醒網(wǎng)站所有者，但這一想法被 WordPress 團隊以“可能致使站點面臨更大安全風險”的由否定。這個建議爭議的地方在于，它造成了一種道德和法律上的兩難境地：刪除插件能夠保護網(wǎng)站免受黑客攻擊，但同時也可能對網(wǎng)站一些功能造成破壞。

目前，為了抵御一些主要的安全威脅，WordPress 開發(fā)人員在發(fā)現(xiàn)被感染的插件后會將其回滾到最后一個“干凈”的版本，并將其作為一個新的更新強制安裝在所有受影響插件的站點上。這樣既能刪除惡意代碼、維護網(wǎng)站安全，同時也能保證網(wǎng)站功能不受影。