Brutal... Menudo fallo más grave. Si algún aprovechado ha llegado a tiempo ha podido copiar miles de bases de datos, o infectar otros tantos miles de sitios que estuvieran utilizando este plugin.
Me gustaría ver la cara de los desarrolladores cuándo se enteraron de la burrada que habían hecho y lo grave que era el problema. No conozco un caso tan severo relacionado con WP como este.
Y pensaban irse de rositas sin notificarlo públicamente para prevenir a sus clientes/usuarios o indicarlo claramente en su changelog. Menuda cara.
----------
EDITO: Rebuscando por los comentarios de la página de venta del plugin en CodeCanyon veo que los usuarios están masacrando a ThemePunch exigiendo una disculpa, transparencia y les reprenden por haberlo hecho tan mal. Respuesta de ThemePunch:
Cita: Hi,
We of course feel very sorry for everybody who has been hacked. It is not really fair to say such a bad thing! How do you come up with this idea? Do you follow our customer service at all? Additionally if you would have read carefully what we have answered here in the comments you would have seen that we apologised.
To be more transparent:
We have had the plugin tested for vulnerabilities from security companies, updated the plugin as advised in a normal way, included an auto update system to make updating an easy process and informed the customers to update. We were advised to make a silent update to not inform the public of how to hack the sites and give all people a chance to update.
As a customer you get an information mail about every update from Envato (the license seller). Again we feel very sorry for everybody being hacked but missing at least 29 (!)updates of a plugin, really? If the update description of the current update states “Security Fix” do you think “Ah, this cannot be important”. Should we have posted a HowTo hack your page at that time? Nobody had updated then, mainly evil minds seem to read the update informations. The damage would be unbelievable!
We informed everybody via our twitter account to update and we informed Envato and Mojothemes to send out messages to the customers.
Hope this adds a little transparency to what have happened. This is not meant as justification but for transparency.
Cheers, ThemePunch
http://codecanyon.net/item/slider-re...omment_7685886
No me parece una excusa muy válida. Hay desarrolladores que han incluido este plugin en temas que también han vendido/distribuido y obviamente no se auto-actualizan. Lo mismo para muchos otros clientes que no hayan podido/querido actualizar. Todos ellos no sabían de lo importante que era ese pequeño y escondido "Security Fix" en el changelog. Deberían haber sido notificados urgentemente por correo electrónico y haber publicado el problema, ya no descrito al pie de la letra, sino al menos haber avisado que había un importantísimo agujero de seguridad y era imprescindible actualizar el plugin o eliminarlo sin contemplaciones.