กลายเป็นเกมแมวจับหนูนานกว่า 2 เดือน เมื่อทีม WordPress ออกมาแจ้งเตือนถึง Backdoor ที่แฝงตัวมากับ Plugin ที่ชื่อว่า Display Widgets โดยแพร่กระจายตัวผ่านทางเว็บไซต์ของ WordPress ถึงแม้ว่าจะลบ Plugin ไปแล้วถึง 4 ครั้ง แฮ็คเกอร์ก็อัปเดตแล้วนำมาลงใหม่ ส่งผลให้มีผู้เสียหายมากกว่า 200,000 ไซต์
โค้ด Backdoor ที่ฝังอยู่ใน Display Widgets Plugin นั้น เริ่มพบตั้งแต่เวอร์ชัน 2.6.1 (ออกเมื่อวันที่ 30 มิถุนายน) ไปจนถึงเวอร์ชัน 2.6.3 (ออกเมื่อวันที่ 2 กันยายน) ซึ่งตอนนี้ทาง WordPress ได้ลบ Plugin ดังกล่าวออกจากเว็บไซต์เป็นที่เรียบร้อยแล้ว แต่คาดว่ามีผู้ที่ดาวน์โหลดไปใช้งานระหว่างนั้นมากกว่า 200,000 ไซต์ ยังไม่นับไซต์ที่อัปเดตจากเวอร์ชันเก่าไปเป็นเวอร์ชันที่มี Backdoor แฝงอยู่อีกด้วย
Display Widgets เป็น Plugin ที่ช่วยให้เจ้าของไซต์ WordPress สามารถควบคุมการแสดง Widget ต่างๆ บนไซต์ของตนเองได้ โดยเริ่มต้นนั้น Strategy11 เป็นบริษัทที่พัฒนา Plugin แบบ Open-source นี้ขึ้นมา แต่หลังจากที่บริษัทเปลี่ยนไปโฟกัสที่เวอร์ชันพรีเมียม บริษัทจึงตัดสินใจที่จะขายเวอร์ชัน Open-source ให้แก่นักพัฒนารายหนึ่งเมื่อช่วงประมาณเดือนพฤษภาคม หลังจากนั้นเพียงหนึ่งเดือน นักพัฒนาคนดังกล่าวก็ได้ออก Display Widgets เวอร์ชันใหม่ คือ 2.6.0 เมื่อวันที่ 21 มิถุนายน
หลังจากออกเวอร์ชันใหม่เพียง 1 วัน David Law นักพัฒนา Plugin คู่แข่งอย่าง Display Widgets SEO Plus ก็ได้ส่งเมลร้องเรียนทีม WordPress ว่า Display Widgets 2.6.0 ละเมิดกฎโดยดาวน์โหลดโค้ดจาก 3rd Party Server ขนาดใหญ่กว่า 38 MB ซึ่งประกอบด้วยฟีเจอร์สำหรับติดตามทราฟฟิกบนเว็บไซต์ ไม่ว่าจะเป็นหมายเลข IP, User-agent, โดเมน และหน้าต่างที่ผู้ใช้กำลังดูอยู่ ส่งกลับไปยัง 3rd Party Server นั้นๆ ส่งผลให้ WordPress ลบ Plugin ออกจากเว็บไซต์ในวันถัดมา
1 สัปดาห์ถัดมา (1 กรกฎาคม) Plugin ดังกล่าวได้กลับมาอีกครั้ง เป็นเวอร์ชัน 2.6.1 ซึ่งมาพร้อมกับไฟล์ 38 MB (geolocation.php) ติดตั้งภายในตัว เพื่อหลีกเลี่ยงการละเมิดกฎของ WordPress อย่างไรก็ตาม Law ก็ค้นพบอีกว่าเวอร์ชันนี้มีการติดตั้ง Backdoor สำหรับให้นักพัฒนา Plugin สามารถเข้าถึงไซต์ WordPress ของผู้ใช้และสร้างหน้า Page หรือ Post ใหม่ได้ นอกเหนือจากการติดตามทราฟฟิก ส่งผลให้ทีม WordPress ลบ Plugin ออกเป็นครั้งที่ 2 ในรอบสัปดาห์
ยังไม่จบเพียงแค่นี้ นักพัฒนา Display Widgets ยังพยายามอัปเดตเวอร์ชันใหม่ 2.6.2 ซึ่งประสบความสำเร็จในการอัปโหลดขึ้นเว็บไซต์ของ WordPress เมื่อวันที่ 6 กรกฎาคมที่ผ่านมา โดยเริ่มแรกนั้นไม่ปรากฏว่ามีพฤติกรรมอันไม่พึงประสงค์ใดๆ อย่างไรก็ตาม วันที่ 23 กรกฎาคม Calvin Ngan ได้ร้องเรียนกับทีม WordPress ระบุว่า Plugin ดังกล่าวได้ทำการสร้างเพจที่ไม่ปรากฏบนหน้า Admin Panel และแฝงด้วยลิงค์สแปมเป็นจำนวนมาก ซึ่งมีเฉพาะผู้ใช้ที่ล็อกเอาท์ไปแล้ว หรือผู้เยี่ยมชมไซต์ทั่วไปเท่านั้น ที่จะเห็นเพจดังกล่าว ส่งผลให้ทีม WordPress ต้องลบ Plugin นี้ออกไปเป็นครั้งที่ 3
อย่างไรก็ตาม นักพัฒนา (หรือเรียกว่าแฮ็คเกอร์ดี) ยังคงไม่ยอมแพ้ วันที่ 2 กันยายน เขาได้อัปโหลดเวอร์ชัน 2.6.3 ขึ้นไปยัง WordPress อีกครั้ง ซึ่งแน่นอนว่าแฝงด้วยพฤติกรรมที่ไม่พึงประสงค์ โดยมีผู้ร้องเรียนว่าเวอร์ชันดังกล่าวมีการสอดแทรกลิงค์สแปมบนไซต์ WordPress สุดท้าย WordPress จึงตัดสินใจลบ Plugin นี้ออกจากเว็บไซต์อย่างถาวร ก่อนที่จะยึด Plugin มาเป็นของตัวเองแล้วออกเวอร์ชันใหม่ 2.7.0 ซึ่งเป็นโค้ดเดียวกับเวอร์ชัน 2.0.5 เวอร์ชันที่ไม่มีมัลแวร์แอบแฝงก่อนที่ Strategy11 จะขาย Plugin ให้กับนักพัฒนาคนใหม่
สำหรับผู้ที่ดาวน์โหลด Display Widgets Plugin มาใช้งาน แนะนำให้ตรวจสอบว่ากำลังใช้งานเวอร์ชัน 2.6.0 – 2.6.3 อยู่หรือไม่ ถ้าใช้ ให้ถอนการติดตั้งหรืออัปเดตเป็นเวอร์ชัน 2.7.0 ทันที