Display Widgetsは20万サイト以上で利用されている著名なプラグインですが、この度公式のプラグインディレクトリからマルウェアを含むとされ削除されてしまいました。
今回はこの問題の解説と、対処方法をご紹介します。
Display Widgetsによるマルウェア配布事件の顛末
2017年6月中旬にDisplay Widgetsは、作者により別の企業へとプラグインの権利が販売された模様で、それ以displaywidgetと名乗るユーザーがこのプラグインを管理することとなります。
同月、David Law氏がこのプラグインが大量のIPアドレスなどのサーバー情報を収集して外部に送信している疑いがあるとForumに投稿、またプラグインのコードがレポジトリ(コードの共有サイト)から突然削除されます。
2017年6月下旬Display Widgets version 2.6.1にgeolocation.phpというマルウェア(サイトの改ざんを可能とするコード)を含むバージョンがリリースされましたが、しばらく誰もそのことに気づくことがなく、アップデートするユーザーが続出し、大量のサイトが改ざん被害を受けることとなります。
2017年7月下旬wordpress.orgはプラグインの公式ディレクトリ公開を停止します。
Display Widgetsをインストールしていたらどうしたらいい?
現在Display Widgetsは公式ディレクトリから削除されてしまっているため、アップデートができない状況です。
もし、Display Widgets version 2.6.1~2.6.9をお使いの場合は大変危険ですので、有志の方がDisplay Widgetsからマルウェアを取り除いたバージョンを公開してくれていますのでこのファイルと入れ替えてしまいましょう。
Display Widgetsクリーンバージョンのダウンロードはこちら
ファイルをダウンロードしたら解凍し、FTPソフトを使用し現在サイトのwp-contents/pluginsフォルダにあるdisplay-widgetフォルダを削除して解凍したファイルをアップロードして置き換えます。