WordPress外掛WPML有漏洞? 離職員工搞的鬼

WordPress上知名的多國語言外掛程式WP MultiLingual(WPML),近日遭到離職員工的挾怨報復,該名員工在離職前於WPML站上留下了後門以供自己出入,並寄信給WPML用戶,宣稱他們所使用的WPML外掛程式含有安全漏洞,WPML隨之發表聲明澄清。

該名離職員工以WPML的名義寄出了郵件,警告不管是WPML外掛程式或官網上都含有嚴重的安全漏洞,他甚至還在WPML官網的產品功能比較頁面上,添加了「安全漏洞」(Secruity Holes)的功能欄位,而且讓每個產品都具備此一功能。

WPML周日(1/20)澄清,這是一名離職員工製造的事端,他們已更新了官網,重建與重新安裝了一切,並以雙因素認證保障了管理員的存取能力,這名離職員工是利用內部的密碼以及自己所留下的後門入侵,而非攻擊程式。

即便如此,WPML也承認該名離職員工取得了用戶的名字與電子郵件,盜走了網站金鑰。因此呼籲用戶重置該站的帳號,也已變更網站金鑰。

WPML外掛程式允許用戶在WordPress網頁上新增對多國語言的支援,估計全球用戶超過60萬,根據使用規模而有29美元、79美元及159美元的訂價,由於WPML並未儲存用戶的支付資訊,因此相關資訊並不受到此波意外的影響。

原文來自 iThome Online