Wednesday BleepingComputer reported that more than 30 WordPress plugins "have been compromised with malicious code that allows unauthorized access to websites running them."

A malicious actor planted the backdoor code last year but only recently started pushing it to users via updates, generating spam pages and causing redirects, as per the instructions received from the command-and-control (C2) server. The compromise affects plugins with hundreds of thousands of active installations and was spotted by Austin Ginder, the founder of managed WordPress hosting provider Anchor Hosting, after receiving a tip about one add-on containing code that allowed third-party access.

Further investigation by Ginder revealed that a backdoor had been present in all plugins within the EssentialPlugin package since August 2025, after the project was acquired in a six-figure deal by a new owner.... "The injected code was sophisticated. It fetched spam links, redirects, and fake pages from a command-and-control server. It only showed the spam to Googlebot, making it invisible to site owners," explained Ginder.

"WordPress.org's v2.6.9.1 update neutralized the phone-home mechanism in the plugin," Ginder writes in a blog post. "But it did not touch wp-config.php. The SEO spam injection was still actively serving hidden content to Googlebot.

"And here is the wildest part. It resolved its C2 domain through an Ethereum smart contract, querying public blockchain RPC endpoints. Traditional domain takedowns would not work because the attacker could update the smart contract to point to a new domain at any time."


This has happened before. In 2017, a buyer using the alias "Daley Tias" purchased the Display Widgets plugin (200,000 installs) for $15,000 and injected payday loan spam. That buyer went on to compromise at least 9 plugins the same way.... The WordPress plugin marketplace has a trust problem... The Flippa listing for Essential Plugin was public. The buyer's background in SEO and gambling marketing was public. And yet the acquisition sailed through without any review from WordPress.org.

WordPress.org has no mechanism to flag or review plugin ownership transfers. There is no "change of control" notification to users. No additional code review triggered by a new committer. The Plugins Team responded quickly once the attack was discovered. But 8 months passed between the backdoor being planted and being caught.

Thanks to Slashdot reader axettone for sharing the news.

Read more of this story at Slashdot.

Slashdot reader smazsyr writes: A new review says we've had fructose wrong for decades. The nine authors, led by Richard Johnson at the University of Colorado Anschutz, argue that fructose "is not just another calorie." It is a signal. It tells the liver to make fat and brace for a famine that never comes. That made sense for a bear fattening up on autumn berries. It makes less sense for a person drinking soda in March.

The review reframes the WHO's sugar guideline, argues ScienceBlog.com, as "less a recommendation about calories and more a warning about a signalling molecule we have been dosing ourselves with, several times a day, for most of a century."

Read more of this story at Slashdot.

20-year-old Matthew Lane sent a text message to ABC News as his parents drove him to federal prison in Connecticut. "I'm just scared," he said, calling the whole situation "extremely sad."


Barely a year earlier, while still a teenager, he helped launch what's been described as the biggest cyberattack in U.S. education history — a data breach that concerned authorities so much, it prompted briefings with senior government officials inside the White House Situation Room. The breach pierced the education technology company PowerSchool — used by 80% of school districts in North America... [and operating in about 90 countries around the world]. With threats to expose social security numbers, dates of birth, family information, grades, and even confidential medical information, the breach cornered PowerSchool into paying millions of dollars in ransom.

"I think I need to go to prison for what I did," Lane told ABC News in an exclusive interview, speaking publicly for the first time about the headline-grabbing heist and his life as a cybercriminal. "It was disgusting, it was greedy, it was rooted in my own insecurities, it was wrong in every aspect," he said in the interview, two days before reporting to prison... At about 6:30 on a Tuesday morning last April, FBI agents started banging on the door of Lane's second-floor dorm room. "FBI! We have a search warrant," Lane recalled them shouting. They seized his devices and many of the luxury items he bought with "dirty" money, as he put it. He said he felt a "wave of relief.... I'm honestly thankful for the FBI," he said. "After they left, I was like, 'It's over ... I'm done with this'..."

A federal judge in Massachusetts sentenced him to four years in federal prison and ordered him to pay more than $14 million in restitution.

"In the wake of the breach, PowerSchool offered two years' worth of credit-monitoring and identity protection services to concerned customer," the article points out. But it also notes two other arrests in September of teenaged cybercriminals:
- A 15-year-old boy in Illinois who allegedly attacked Las Vegas casinos, reportedly costing MGM Resorts alone more than $100 million
- A British national who when he was 16 helped breach over 110 companies around the world and extort $115 million.

But ironically, Lane tells ABC News it all started on Roblox, where he'd met cheaters, password-stealers, and cybercriminals sharing photos of their stacks of money, creating a "sense of camaraderie"
Lane and others warn that online forums also attract criminal groups seeking to recruit potential hackers. "The bad guys are on all the platforms watching the kids playing," Hay said. "And when they see an elite-level performer, they go approach that kid, masquerading as another kid, and they go, 'Hey, you want to earn some [money]? ... Here are the tools, here are the techniques'...."

According to Lane, he spent his "ill-gotten gains" on designer clothes, diamond jewelry, DoorDash deliveries, Airbnb rentals for him and his friends, and drugs — "lots of drugs." He said he would numb ever-present feelings of guilt with drugs — from high-potency marijuana to acid. But it was hacking that gave him the strongest high. "It's indescribable the adrenaline you get when you do something like that," he said. "It's way more than driving 120 miles per hour. ... Incomparable to any drug at all, as well."

"On Monday, Roblox announced that, starting in June, it will offer age-checked accounts for younger users that limit what games they can play, and add 'more closely align content access, communication settings, and parental controls with a user's age.'"

Read more of this story at Slashdot.

Nextcloud joined a project to create a sovereign replacement for Microsoft Office called "Euro-Office". But after that project forked OnlyOffice, OnlyOffice suspended its partnership with Nextcloud. "They removed all references to our brand/attribute as required by our license," argued OnlyOffice CEO Lev Bannov on March 30th. ("The core issue here isn't just about what the AGPL license states, but about the additional provisions we, as the authors, have included... If the Euro-Office team believes our approach conflicts with the AGPLv3 license, we invite them to submit an official request to FSF for review.")

But this week the FSF responded (as "the steward of the GNU family of General Public Licenses"), criticizing OnlyOffice's "attempt to impose an additional restriction on the AGPLv3" and calling it "inconsistent with the freedoms granted by the license," in a blog post from FSF licensing/compliance manager Krzysztof Siewicz:



It is possible to modify the (A)GPLv3 with additional terms, but only by adhering to the terms of the license... The (A)GPLv3 makes it clear that it permits all licensees to remove any additional terms that are "further restrictions" under the (A)GPLv3. It states, "[i]f the Program as you received it, or any part of it, contains a notice stating that it is governed by this License along with a term that is a further restriction, you may remove that term"...

We urge OnlyOffice to clarify the situation by making it unambiguous that OnlyOffice is licensed under the AGPLv3, and that users who already received copies of the software are allowed to remove any further restrictions. Additionally, if they intend to continue to use the AGPLv3 for future releases, they should state clearly that the program is licensed under the AGPLv3 and make sure they remove any further restrictions from their program documentation and source code. Confusing users by attaching further restrictions to any of the FSF's family of GNU General Public Licenses is not in line with free software.


"If FSF determines that our license and project align with AGPLv3, we will continue as an open-source initiative," OnlyOffice's CEO had written in March. "However, if the decision goes against us, we are ready to consider other options."

Read more of this story at Slashdot.

Thomas Hawk posted a photo:

Thomas Hawk posted a photo:

handwritten on slide, "L. Geo"

SergioQ79 - Osanpo Photographer - posted a photo:

Dalla collina, nero e imponente, tiene tutto sotto controllo. Non c’è bisogno di movimento, non c’è bisogno di rumore: la sua presenza basta. Anche nella notte, quando tutto si attenua, lui resta lì, a osservare ciò che accade sotto di lui.

丘の上から、黒く堂々とすべてを見下ろしている。動く必要も、音もいらない。その存在だけで十分だ。夜になり、周囲が静まっても、城はそのまま、下で起こるすべてを見続けている。

From the hill, dark and imposing, it keeps everything under control. No need to move, no need for noise: its presence is enough. Even at night, when everything softens, it remains there, watching what unfolds below.

BertvB posted a photo:

Pierre Guillon de Prince believed to be first in France to formally apologise for ancestors’ allegiances to slavery

An 86-year-old man has issued what is believed to be the first formal apology by someone in France for their family’s role in transatlantic slavery.

Pierre Guillon de Prince’s ancestors, based in Nantes, which was the country’s largest port for transatlantic slavery, were shipowners who transported about 4,500 enslaved Africans and owned plantations in the Caribbean.

Continue reading...

Now Guardiola has granted his players freedom to improvise, it’s the Gunners’ manager who is the stickler for blueprint over instinct

At half-time in the Carabao Cup final, Arsenal’s hopes of a quadruple remained strong. They were unbeaten in 14, 11 of them won. They were drawing 0-0 against Manchester City and it wasn’t unreasonable to think that if the second half carried on as the first half had, they would eventually find a winner – quite possibly from a corner.

They had drawn a Championship side in the sixth round of the FA Cup and a Portuguese side in the quarter-finals of the Champions League. They held a nine-point lead in the Premier League. This was shaping up to be the greatest season in Arsenal’s history.

Continue reading...

Roberto De Zerbi could only watch in stunned silence. The Italian had been a crucible of emotions as Tottenham tried to hold out against his former club after Xavi Simons scored the goal that looked like ending their long wait for a victory. But football is capable of providing the cruellest twists and Georginio Rutter’s late equaliser must have felt like a dagger to the heart for the Spurs fans.

The draw leaves Tottenham still in the relegation zone having still failed to record a win in 2026 and the prospect of this magnificent stadium hosting Championship football next season is growing by the minute. Having arranged a special team-bonding meal at a swanky Mayfair restaurant this week, De Zerbi promised to take his team out for more expensive dinners if they delivered in his first home match.

Continue reading...

• Iceland 0-1 England

• Russo’s first-half goal keeps Lionesses on track for tournament

Snow-capped mountains provided an idyllic backdrop to a less impressive performance, but England’s 1-0 win over Iceland ensured they maintained a three-point gap over Spain in their bid to earn an automatic place in the 2027 World Cup.

Only the four League A teams who top their groups will avoid the playoffs and qualify automatically and with the European and world champions drawn in the same group, one will be left frustrated and with more games required to book their trip to Brazil.

Continue reading...

⚽️ Premier League updates from the 8pm BST kick-off
⚽ Live scores | Tables | Top scorers | Follow on Bluesky

The Joy of Six: Chelsea v Man Utd

This archive piece, written by the great Scott Murray, is well worth reading.

United were newly crowned champions of Europe – finally – and the world appeared to be their oyster. But of course they wouldn’t pick up another trophy until winning the Second Division championship in 1975. This was the first sign that a mild complacency had set in at Old Trafford. “Chelsea surely will never gain two points so easily again,” reported the Guardian, “and at the same time it is difficult to visualise United being so abysmally poor.”

The visitors employed a power game – Ron Harris, Eddie McCreadie and David Webb crunching in with hard tackles, winning almost every ball, and shipping it forward quickly. Tommy Baldwin put Chelsea in front within 40 seconds. Bobby Tambling snaffled a ridiculous clearance by Tony Dunne to make it 2-0 on 13 minutes. Baldwin made it three seven minutes before half-time. United made a few “desultory raids” which were easily mopped up before Alan Birchenall added a fourth.

Continue reading...

Aan het eind van afrit 13 van de A20, op het Kleinpolderplein, zijn zaterdagavond een fatbike en een auto met elkaar in botsing gekomen. De fatbiker raakte hierbij gewond en moest naar het ziekenhuis. Door het ongeval werd de afrit tijdelijk afgesloten, maar het rode kruis hiervoor werd door meerdere automobilisten genegeerd.

In 2026 heeft Bangladesh het grootste leger ter wereld wanneer alle militairen – actief, reserve en paramilitair – worden meegeteld. Het land komt uit op ruim 7 miljoen manschappen, blijkt uit nieuwe cijfers van onder meer data-analisten van Voronoi en militaire statistiekplatformen.

Vietnam volgt met 5,75 miljoen militairen, Oekraïne met 5 miljoen, India met 4,9 miljoen en Zuid-Korea met 3,65 miljoen. Rusland, China en de Verenigde Staten staan wel in de top tien, maar scoren vooral hoog doordat ze grote actieve legers en forse defensiebudgetten combineren.

Bij de actieve troepen alleen voert China de lijst aan, met naar schatting ongeveer 2 miljoen soldaten, gevolgd door India en de VS. De ranglijsten illustreren dat landen onder directe militaire dreiging relatief veel reservisten achter de hand houden, terwijl traditionele grootmachten zwaarder leunen op technologie en materieel.

ANTWERPEN (ANP/BELGA) - Op de Schelde bij Antwerpen kunnen weer schepen varen, meldt de brandweer. Het scheepvaartverkeer was eerder op zaterdag gestremd, omdat een Nederlands vrachtschip was gezonken.

De Sola Gratia, die zand vervoerde, kwam afgelopen nacht in de problemen na een aanvaring met een meerpaal. Twee mensen werden uit het water gered door duikers van de hulpdiensten. Tijdens het zinken verloor het vrachtschip veel olie.

Het gezonken schip is inmiddels omringd met boeien, waardoor het scheepvaartverkeer weer kan passeren. Eerder op zaterdag liet de brandweer weten dat de berging van het schip nog weken kan gaan duren.

KYIV(ANP/AFP/DPA) - De schutter die zaterdag in Kyiv meerdere mensen doodschoot en zelf werd gedood door de politie, was een 58-jarige man geboren in Moskou, zegt procureur-generaal Roeslan Kravtsjenko. Hij maakte gebruik van een automatisch wapen. Over een motief is nog niks bekend.

De schutter maakte zeker zes dodelijke slachtoffers. Meerdere mensen raakten gewond, onder wie een kind.

Nadat hij op straat op voorbijgangers had geschoten, vluchtte de schutter een supermarkt in waar hij mensen in gijzeling nam. Een van die gijzelaars werd gedood. Volgens de minister van Binnenlandse Zaken Ihor Klymenko duurde de confrontatie tussen de politie en de schutter in de supermarkt ongeveer veertig minuten. Politieonderhandelaars probeerden het gesprek aan te gaan met de schutter, maar hij weigerde volgens een agent te communiceren, schrijft The Kyiv Independent.

Volgens die nieuwssite was in het appartement waar de schutter verbleef brand uitgebroken.

Russia faces one of the highest HIV prevalence rates in Europe, with infections continuing to climb despite record screening levels.

SergioQ79 - Osanpo Photographer - has added a photo to the pool:

Dalla collina, nero e imponente, tiene tutto sotto controllo. Non c’è bisogno di movimento, non c’è bisogno di rumore: la sua presenza basta. Anche nella notte, quando tutto si attenua, lui resta lì, a osservare ciò che accade sotto di lui.

丘の上から、黒く堂々とすべてを見下ろしている。動く必要も、音もいらない。その存在だけで十分だ。夜になり、周囲が静まっても、城はそのまま、下で起こるすべてを見続けている。

From the hill, dark and imposing, it keeps everything under control. No need to move, no need for noise: its presence is enough. Even at night, when everything softens, it remains there, watching what unfolds below.

Kinderen hebben jarenlang keihard gewerkt, en afgelopen week spatte hun dromen uiteen. Ze mogen niet naar de school van hun eerste, tweede, derde, vierde of vijfde keuze. Computer says no. Er is geen gesprek, bezwaar of beroep mogelijk. Het leidt tot meisjes die door het bos een dorpje verder moeten fietsen, met alle risico’s van dien.

Voor pubers gaat het nog wreder, ze willen graag mensen helpen, ze willen arts worden. Ze volgen jarenlang verplicht biologie, natuur- en scheikunde voor een lot uit de loterij. We wijzen al jaren gemiddeld driekwart af, ze hebben niets misdaan, ze zijn afgewezen, geen geneeskunde of tandheelkunde, incasseer het maar en doe straks eindexamen.

Ze mogen niet rouwen, ze moeten na deze teleurstelling doorbijten, anders worden ze afgestraft zonder diploma en mogen ze helemaal nergens studeren. Zeven- tot achtduizend pubers gaan jaarlijks door deze gehaktmolen, ze mogen geen wachtlijsten wegwerken of onderzoek doen naar hoe de zorg beter, efficiënter en goedkoper kan.

Annabel Nanninga vroeg zich al eerder af hoeveel feministische antropologische danstheologen we nog nodig hebben, het is toch vreemd dat we een numerus fixus hebben voor opleidingen waar vanuit pubers en samenleving vraag naar is, en we die nucleaire optie nauwelijks inzetten voor opleidingen die leiden tot een uitkering.

De pubers die zijn ingeloot lopen jaren later als student tegen een ander probleem aan. Er zijn veel te weinig stageplekken, dus wijken ze uit naar het buitenland om hun studie te voltooien. Als je de studie voltooid hebt, ben je basisarts, en zie je een totaal gebrek aan specialisatieplekken. Het is niet handig je eigen concurrenten op te leiden.

Specialisten die we hebben, werken te veel uren in hun maatschap, wat leidt tot vermoeidheid en onnodige fouten. Een piloot mag voor de veiligheid maar 1000 uur vliegen, een beetje specialist probeert 47 x 55 = 2585 uur per jaar te draaien voor extra omzet en winst. Alleen al daarom zou je twee keer zo veel artsen willen opleiden.

We zijn een van de rijkste landen ter wereld, maar leiden niet genoeg artsen op voor onze eigen behoefte. We kapen artsen weg, zelfs uit derdewereldlanden, zuivere VOC-mentaliteit, er is niets mis met die loonslaven artsen, buiten de vacatures die ze in hun moederland achterlaten. Deze braindrain is misdadig richting alle ontwikkelingslanden.

Deze pubers hebben ondanks verslavende sociale media, corona en onderwijs dat grossiert in onvoldoendes vanuit de inspectie gedaan wat hun was opgedragen. Dit geldt niet alleen voor vwo’ers met geneeskunde, maar ook havisten met verloskunde. Dit wordt steeds moelijker, dankzij dalende resultaten in taal- en rekenonderwijs.

Een derde van de kinderen krijgt een havo/vwo of vwo-advies, wat impliceert dat ze richting universiteit kunnen. Ouders vechten om zulke adviezen bij juffen en meesters, ze hopen allemaal dat hun prinsje of prinsesje veel extra aandacht krijgt en ze dan toch net halen, want bij klassikaal onderwijs neerkomt op vrijwilligerswerk van docenten.

De politiek gaf een gratis gebaar door adviezen alleen omhoog te wijzigen als de centrale toetsing een ander niveau aangeeft. Het gaf 50% extra havo/vwo adviezen. Een niveautje lager als een kind door de mand valt is geen optie. Met bijlestrainingen of een zelfs pre-brugklas worden kinderen klaargestoomd om verhoogd te scoren, altijd geslaagd!

Dit geeft kinderen die jarenlang verzuipen, totdat ze een niveautje afdalen, pure kindermishandeling. 10 tot 20% stroomt af. Sowieso zijn adviezen zoals havo/vwo of vmbo/havo niet passend bij het aanbod. Het geeft ook een kunstmatig verhoogde vraag naar vwo-brugklassen, dat geeft onnodige loting en verdringing.

Dit zijn totaal onnodige risico’s, want ons systeem is binnen het voortgezet en hoger onderwijs compleet ingericht om niveaus te stapelen. Dit heeft zelfs toegevoegde waarde, want stapelende studenten beheersen meerdere niveaus, ze doorzien de samenwerking naar boven en beneden, ze vormen de lijm in een organisatie.

Elk kind gelijke kansen is een vorm van communisme. Scholen moeten groeien en krimpen met de vraag naar hun aanbod. Niet elk kind is geschikt voor ieder schoolsysteem, en niet ieder systeem is geschikt voor elk kind. Soms is de vrijheid van Dalton, Montessori en dergelijke nodig, soms de structuur van klassikaal onderwijs.

We hebben een tunnelvisie op studiesnelheid en een zo hoog mogelijk niveau, we vergeten te kijken naar de juiste vorm en richting. De inspectie beoordeelt scholen op compleetheid van nauwelijks gelezen verslaglegging, niveaus, doorstroomsucces en gemiddelde CE-cijfers, ze vergeet te beoordelen op systeem-, vakken- en studiekeuze.

Pubers, ouders en scholen proberen dan risico’s te mijden en kiezen voor zo hoog mogelijk theoretisch onderwijs in "makkelijke" vakken, terwijl de vraag wijzigt richting praktisch geschoolde mensen, zie dit voorbeeldje waar artificiële intelligentie probeert een winkel te draaien. Op elk onderwijsniveau hebben we een verschuiving nodig richting de praktijk.

Het gaat er straks niet meer om wat je kent, maar om wat je kan.