Plugin en genezen van kanker
Uitzending do 18:00 ** September 14th, 2017 by wim.webgang **WordPress plugin
Wordpress heeft een WordPress plugin met de naam “Display Widgets” verwijderd uit de WordPress plugin download site. De plugin bleek code te bevatten om een achterdeur in te stellen in WordPress sites. Het normale doel van de plugin was gemakkelijk aan en af zetten van bepaalde stukken inhoud door de beheerder van de site. De plugin werd op honderdduizenden sites gebruikt. De versies van rond juli en augustus bleken de backdoor code te bevatten. Het is niet bekend hoeveel van sites die versie van de plugin hebben die de backdoor bevat.
Officiële WordPress
Er is ook commentaar op het beleid van WordPress zelf, want die plugin heeft vroeger al enkele keren voor gelijkaardige problemen gezorgd. Daar zijn beschrijvingen over te vinden, en de oorzaak ligt mogelijk bij de nieuwe eigenaar van de plugin. Maar het WordPress team bestaat uit veel vrijwilligers, en het is niet zo gemakkelijk om daarvan een professionele dienstverlening zoals bij een betalende dienst te verwachten, WordPress is immers gratis.
Stephanie
Oorspronkelijk was Display Widgets” ontwikkeld door Stephanie Wells, die een eigen bedrijf heeft opgericht, Strategy11, dat website ontwikkeling en programmatie doet. Ze programmeert in Ruby on Rails en PHP, en maakte verschillende WordPress plugins. Voor haar werk onderhield zelf enkele Linux servers en ontwierp ze een website betaalsysteem. Omdat ze geen tijd meer had voor het onderhoud van de Display Widgets plugin verkocht ze die.
Nieuw
De nieuwe eigenaar bracht kort daarna een versie uit die voor een aandachtige systeembeheerder eigenaardig gedrag vertoonde: de plugin, eens geïnstalleerd, downloadde tientallen MB code met nieuwe functies van een andere server. Dat gedrag gaat in tegen de regels van WordPress. Bovendien vertoonde die extra code verdacht gedrag, waarbij het data verzamelde over de gebruikers op de website waar de plugin gebruikt werd. Die informatie werd dan naar een andere server gestuurd.
De WordPress ploeg reageerd de volgende dag: de plugin verwijderd van de Wordpress download servers.
Onkruid
Een week later dook de plugin terug op, in weer een nieuwe versie. De plugin downloadde nu geen extra plugin code meer van ergens anders, maar die tientallen MB code zaten nu in de plugin zelf. Het gedrag was nog even verwerpelijk, en dus kwamen er weer klachten. De eigenaar van de plugin kreeg controle over de websites waarop de plugin geïnstalleerd wordt, en dat kan natuurlijk niet. De plugin werd weer van de WordPress download site gehaald.
Even later werd er weer een nieuwe versie van de plugin gepubliceerd. Na een aantal dagen begonnen ook de klachten weer. De plugin bevatte malware, die zorgde ervoor dat er extra pagina’s op de blog bijkwamen, waarin allerlei links naar verdachte sites zaten. De links werden afgehaald van een andere server. Waarschijnlijk verdiende de eigenaar van de plugin daar geld mee. De malware was zo gemaakt dat wie ingelogd was als beheerder die pagina’s niet zag. Kortom, de plugin werd weer verwijderd.
Begin september was er weer een nieuwe versie beschikbaar. Maar niet verwonderlijk bevatte die nog altijd de malware. De gebruikersaccount die de plugin uploadde meldde dat er een probleem was in combinatie met andere plugins of dat ze gehackt waren maar dat het nu opgelost was in een poging om de klachten over de ongewenst ingevoegde pagina’s te weerleggen.
Buiten
Maar uiteindelijk werd de plugin definitief uit de WordPress downloads gehaald. Het WordPress team heeft er dan blijkbaar zelf een programmeur op gezet om terug een cleane versie te maken, gebaseerd op de broncode van voor de verkoop van de plugin.
https://wordpress.org/support/topic/no-longer-available-2/
Pizdin Dim:
“The plugin is no longer available on wordpress.org”
Microsoft genezen van kanker
Vijftien jaar geleden zou je je in deze e-mail opener verslikken:
“We zijn blij aan te kunnen kondigen dat de Platinium sponsor van het Red Hat Forum dit jaar Microsoft is”!
Een goede 16 jaar geleden, in juni 2001, noemde Steve Balmer Linux een kanker in de Chicago Sun-Times. Hij had het vooral gemunt op de licentie die Linux en veel andere open source software gebruiken (GPL). Ondertussen zijn we meer dan 15 jaar verder, is Linux overal, en verdient Microsoft bergen geld aan Linux en andere open source en gpl software.
Niet verwonderlijk dat ze dus een beetje sponsoren voor het Red Hat Forum, dat doorgaat in Breda op 10 oktober 2017.
Onderwerpen zijn: OpenShift, Ansible, CloudForms, Agile Integration, IoT, DevOps, Container Native Storage.