Acht populaire WordPress-plug-ins met honderdduizenden installaties zijn over een periode van 4,5 jaar gebruikt voor het injecteren van spam op allerlei websites. De plug-ins werden door de ontwikkelaars aan de spammer verkocht of ze gingen met hem een partnerschap aan.
Zo kreeg de spammer toegang tot de plug-ins en kon hij zijn code toevoegen of leverde hij die aan. De code injecteerde spam op WordPress-websites die de plug-ins hadden geïnstalleerd. Zo werd er onder andere reclame voor escortbureaus en leningen gemaakt. Bij sommige plug-ins moesten webmasters eerst met vage overeenkomsten akkoord gaan dat hun website voor spam zou worden gebruikt. Bij andere plug-ins gebeurde dit zonder toestemming van de webmaster.
Securitybedrijf Wordfence ontdekte dat de spammer al sinds 2013 op deze manier actief is. Eén van de getroffen plug-ins is Display Widgets, die onlangs al in het nieuws kwam. Daarnaast gaat het om 404 to 301, WP Slimstat, WP Maintenance Mode, Menu Image, NewStatPress, Weptile Image en No Comment. De laatste twee zijn inmiddels uit de database met WordPress-plug-ins verwijderd. De overige plug-ins bevatten inmiddels geen spamcode meer.
Volgens Wordfence is het belangrijk dat eigenaren van een WordPress-site de gebruikersovereenkomst van de plug-in die ze willen installeren helemaal lezen, en dan met name het einde. In het geval van de spammer had die de vermelding voor het plaatsen van spam op websites helemaal aan het einde van de overeenkomst geplaatst. Daarnaast kunnen webmasters bijhouden of plug-ins die ze voor hun WordPress-website hebben geïnstalleerd uit de WordPress-repository zijn verwijderd.
Deze posting is gelocked. Reageren is niet meer mogelijk.