На выходных WordPress объявили о приостановке обновлений плагинов и принудительном сбросе паролей авторов плагинов, чтобы предотвратить дальнейшие взломы веб-сайтов из-за продолжающейся атаки на цепочку поставок плагинов WordPress.

Атака на цепочку поставок

Хакеры атаковали плагины непосредственно на источнике, используя учетные данные паролей, раскрытые в предыдущих утечках данных (не связанных с самим WordPress). Хакеры ищут скомпрометированные учетные данные, используемые авторами плагинов, которые используют одни и те же пароли на нескольких веб-сайтах (включая пароли, раскрытые в предыдущих утечках данных).

WordPress принимает меры для блокировки атак

Некоторые плагины были скомпрометированы. Сообщество WordPress объединилось, чтобы пресечь дальнейшие взломы плагинов, введя принудительный сброс пароля и призвав авторов плагинов использовать двухфакторную аутентификацию.

WordPress также временно заблокировал все новые обновления плагинов в источнике, если они не получили одобрения команды, чтобы убедиться, что плагин не обновляется с вредоносными бэкдорами. К понедельнику WordPress обновил свой пост, чтобы подтвердить, что выпуски плагинов больше не приостановлены.

Объявление WordPress о принудительном сбросе пароля:

«Мы начали принудительно сбрасывать пароли для всех авторов плагинов, а также других пользователей, чья информация была обнаружена исследователями безопасности в утечках данных. Это повлияет на способность некоторых пользователей взаимодействовать с WordPress.org или выполнять коммиты до тех пор, пока их пароль не будет сброшен.

Вы получите письмо от Plugin Directory, когда придет время сбросить пароль. Нет необходимости предпринимать какие-либо действия, пока вас не уведомят.”

А обсуждение в комментариях Раздел между членом сообщества WordPress и автором объявления показал, что WordPress не связывался напрямую с авторами плагинов, которые были идентифицированы как использующие «переработанные» пароли, поскольку имелись доказательства того, что список пользователей, обнаруженных в списке утечки данных, чьи учетные данные были на самом деле безопасны (ложные срабатывания). WordPress также обнаружил, что некоторые учетные записи, которые считались безопасными, на самом деле были скомпрометированы (ложные срабатывания). Именно это привело к текущим действиям по принудительному сбросу паролей.

ЧИТАТЬ  Среда обитания 3.0: новый шаг к роботам с социальным интеллектом! » Веб-агентство | Дом программного обеспечения | Сирус Индустрия

Франциско Торрес из WordPress ответил:

«Вы правы, что обращение к этим людям с указанием того, что их данные были обнаружены в результате утечки данных, сделает их еще более чувствительными, но, к сожалению, как я уже упоминал, это может быть неточным для некоторых пользователей, и будут другие, которые будут отсутствовать. То, что мы сделали с начала этой проблемы, — это индивидуально уведомили тех пользователей, которые, как мы уверены, были скомпрометированы».

Прочитайте официальное объявление WordPress:

Для авторов плагинов требуется сброс пароля

Главное изображение от Shutterstock/Aleutie



Source link