WordPress上知名的多国语言插件程序WP MultiLingual(WPML),近日遭到离职员工的挟怨报复,该名员工在离职前于WPML站上留下了后门以供自己出入,并寄信给WPML用户,宣称他们所使用的WPML插件程序含有安全漏洞,WPML随之发布声明澄清。
该名离职员工以WPML的名义发送了邮件,警告不管是WPML插件程序或官网上都含有严重的安全漏洞,他甚至还在WPML官网的产品功能比较页面上,添加了“安全漏洞”(Secruity Holes)的功能字段,而且让每个产品都具备该功能。
WPML周日(1/20)澄清,这是一名离职员工制造的事端,他们已更新了官网,重建与重新安装了一切,并以双因素认证保障了管理员的访问能力,这名离职员工是利用内部的密码以及自己所留下的后门入侵,而非攻击程序。
即便如此,WPML也承认该名离职员工取得了用户的名字与电子邮件,盗走了网站密钥。因此呼呼吁用户重置该站的帐号,也已变更网站密钥。
WPML插件程序允许用户在WordPress网页上添加对多国语言的支持,估计全球用户超过60万,根据使用规模而有29美元、79美元及159美元的定价,由于WPML并未存储用户的支付信息,因此相关信息并不受到此波意外的影响。