最近WordPress圈子真的是不太平，先是有插件因為有惡意代碼被WordPress官方移除，后有WordPress因為授權(quán)原因放棄使用React框架，導致WordPress 5.0的新編輯器都要重構(gòu)，這兩天，又有一款插件因為包含spam代碼被WordPress官方從插件目錄永久移除。

SI CAPTCHA Anti-Spam插件是一款給WordPress增加一張驗證碼的圖片，保證WordPress不被spam騷擾，這款插件除了能用在WordPress網(wǎng)站上，也可以用在bbPress,BuddyPress,Jetpact和WooCommerce，在被移除之前，這款插件有超過30萬的激活量。

這款插件的創(chuàng)始人是Mike Challis，他說一個叫fastsecure的ID在2017年6月成為SI CAPTCHA Anti-Spam插件的新所有者，Mike Challis并不知道這款插件的新所有者的計劃，但是他在WordPress官方發(fā)布了一篇文章，告訴用戶如果正在使用這款插件，需要從自己的WordPress網(wǎng)站上刪除這款插件。

在文章中，Mike Challis說插件的新所有者嘗試把一些代碼植入到他收購的一些WordPress插件中，并且會嘗試鏈接他自己的第三方服務(wù)器，并且通過這些代碼嘗在安裝插件的WordPress網(wǎng)站中植入自己的付費廣告。

SI CAPTCHA Anti-Spam插件在3.0.1和3.0.2版本中有惡意代碼，但是這些惡意代碼并沒有起作用。

這款插件的惡意代碼在3.0.3版本被移除，但是為了安全期間，也為了防止這款插件新的所有者發(fā)布新的包含惡意代碼的版本，WordPress官方這次很果斷的從WordPress官方目錄移除了這款插件。也建議用戶做一個選擇，為了安全移除這款插件，并且使用和這款插件功能類似的WordPress插件： AntiSpam by CleanTalk, Simple Google reCAPTCHA, 和 CAPTCHA Code。

這個事情再次說明了WordPress插件安全性存在問題，而且，從近期的事件來看，因為WordPress插件作者很難有盈利，而且還要一直免費升級，更新功能，出售插件可能是一個不錯的辦法，但如果出售了插件，還是建議能及時通知WordPress官方，讓WordPress官方在所有WordPress網(wǎng)站后臺的插件列表里設(shè)置提醒，這樣可以讓用戶有一個心理準備，不然這種事情出現(xiàn)的多了，WordPress可能就會被大家懷疑甚至拋棄。

最后，如果您還在使用這款插件，請馬上從自己的WordPress網(wǎng)站刪除吧。