在上周末,一款非常受欢迎的WordPress插件引发了激烈的讨论。原因是大量该插件的用户均收到了一封电子邮件,称该插件存在未修补的安全漏洞。在随后的一封群发电子邮件中,该插件的开发团队将此次事件归咎于一名前雇员,而此人还破坏了他们的网站。
被讨论的插件是WPML(或WP MultiLingual),目前最受欢迎的WordPress插件之一,不但可用于主题插件翻译,而且是构建多语言网站的利器(支持一百多种语言)。
根据WPML官方网站的描述,WPML目前拥有超过60万的付费用户,是为数不多的几款不需要通过在官方WordPress.org插件库上发布免费版本来宣传自己的WordPress插件之一。
但在上周六,该插件却迎来了自2007年推出以来的首场“声誉之战”。
WPML团队声称,造谣者是该团队的一名前雇员,他向该插件的所有用户都发送了一封电子邮件。在电子邮件中,他声称自己是一名安全研究员,并向WPML团队报告了几个被忽视的漏洞。此外,电子邮件还敦促WPML用户检查他们的网站,以查看是否存在入侵迹象。
WPML团队解释成,这名前雇员实际上是利用其离职时留在WPML官方网站上的一个后门,从网站数据库中获取到了用户的电子邮箱地址和姓名,并利用这个后门对其网站进行了破坏。
WPML团队表示,可以肯定的是,这名前雇员无法获取到用户的财务信息,因为他们并不存储此类信息。目前,他们正在从头开始重建服务器,以移除后门,并重置所有用户账户的密码,以防万一。
WPML团队还表示,这名前雇员也无法获得其官方插件的源代码。也就是说,不会有恶意版本出现在其官方网站上。
目前,WPML团队并没有透露是否已经向有关部门报案。如果该团队的说法属实,那么这名前雇员被捕的可能性将会很大。