SI CAPTCHA Anti-Spam插件是一款给WordPress增加一张验证码的图片,保证WordPress不被spam骚扰,这款插件除了能用在WordPress网站上,也可以用在bbPress,BuddyPress,Jetpact和WooCommerce,在被移除之前,这款插件有超过30万的激活量。
这款插件的创始人是Mike Challis,他说一个叫fastsecure的ID在2017年6月成为SI CAPTCHA Anti-Spam插件的新所有者,Mike Challis并不知道这款插件的新所有者的计划,但是他在WordPress官方发布了一篇文章,告诉用户如果正在使用这款插件,需要从自己的WordPress网站上删除这款插件。
在文章中,Mike Challis说插件的新所有者尝试把一些代码植入到他收购的一些WordPress插件中,并且会尝试链接他自己的第三方服务器,并且通过这些代码尝在安装插件的WordPress网站中植入自己的付费广告。
SI CAPTCHA Anti-Spam插件在3.0.1和3.0.2版本中有恶意代码,但是这些恶意代码并没有起作用。
这款插件的恶意代码在3.0.3版本被移除,但是安全起见,也为了防止这款插件新的所有者发布新的包含恶意代码的版本,WordPress官方这次很果断的从WordPress官方目录移除了这款插件。也建议用户做一个选择,为了安全移除这款插件,并且使用和这款插件功能类似的WordPress插件: Simple Google reCAPTCHA, 和 CAPTCHA Code。
这个事情再次说明了WordPress插件安全性存在问题,而且,从近期的事件来看,因为WordPress插件作者很难有盈利,而且还要一直免费升级,更新功能,出售插件可能是一个不错的办法,但如果出售了插件,还是建议能及时通知WordPress官方,让WordPress官方在所有WordPress网站后台的插件列表里设置提醒,这样可以让用户有一个心理准备,不然这种事情出现的多了,WordPress可能就会被大家怀疑甚至抛弃。
最后,如果您还在使用这款主题,请马上从自己的WordPress网站删除吧。