一个非常受欢迎的WordPress插件在周末遭到黑客攻击，因为黑客破坏了其网站并向所有客户发送了一条大量消息，显示存在未经修补的安全漏洞。在后续的群发电子邮件中，该插件的开发人员将黑客归咎于一名前雇员，该雇员也破坏了他们的网站。

有问题的插件是WPML(或WP MultiLingual)，这是最流行的WordPress插件，用于翻译和提供多种语言的WordPress网站。

根据其网站，WPML拥有超过60万付费客户，是极少数WordPress插件之一，它是如此有信誉，它不需要在官方WordPress.org插件存储库上使用免费版本做广告。

但周六，ET时区，该插件面临自2007年推出以来的首次重大安全事件。

WPML团队声称是前雇员的攻击者向所有插件的客户发送了一封大量的电子邮件。在电子邮件中，攻击者声称他是一名安全研究员，他向WPML团队报告了几个被忽略的漏洞。电子邮件[ 1，2，3，4，5]敦促客户检查自己的网站可能的妥协。

但WPML团队对这些说法提出异议。双方在Twitter上[ 1，2 ]，并在后续的群发电子邮件时，WPML小组称，黑客是一名前雇员谁离开在其官方网站一个后门，并用它来获取其服务器和其客户数据库。

WPML声称黑客使用他从网站数据库中发送的电子邮件地址和客户名称发送大量电子邮件，但他也使用后门破坏其网站，将电子邮件的文本留在其网站上的博客文章[ 此处存档版本]。

开发人员表示，前员工无法访问财务信息，因为他们没有存储此类详细信息，但他们并未裁定他现在可以登录客户的WPML.org帐户，因为该网站遭到破坏数据库。

该公司表示，它现在正在从头开始重建其服务器以移除后门并重置所有客户帐户密码作为预防措施。

WPML团队还表示，黑客无法访问其官方插件的源代码，也没有将恶意版本推送到客户的网站。

该公司及其管理层无法提供有关该事件的其他问题。目前还不清楚他们是否在撰写本文时向当局报告了该员工。如果公司的说法属实，前雇员逃脱监禁的可能性很小。