Как опытный веб-мастер, который справился со своей долей проблем безопасности веб-сайтов, я искренне аплодирую WordPress за быстрые и решительные действия в ответ на продолжающуюся атаку цепочки поставок на их плагины. Тот факт, что хакерам удалось скомпрометировать плагины в их источнике, используя переработанные пароли, используемые авторами плагинов, является серьезной проблемой, требующей немедленного внимания.
🌙 Готов к лунным высотам?
CryptoMoon покажет, когда криптоактивы готовы взлететь до звёзд!
На выходных WordPress сделал объявление. Они приняли немедленные меры, остановив обновления плагинов и сбросив пароли для авторов плагинов в рамках своего ответа на продолжающуюся атаку на цепочку поставок, нацеленную на плагины WordPress. Эта мера была направлена на минимизацию дальнейшего взлома веб-сайта.
Атака на цепочку поставок
Как эксперт по SEO, я бы посоветовал, чтобы уязвимости плагинов использовались непосредственно в их источнике из-за раскрытия учетных данных пароля в результате прошлых утечек данных, не связанных с самим WordPress. Хакеры ищут скомпрометированные учетные данные, используемые разработчиками плагинов, которые, к сожалению, используют одни и те же пароли на различных веб-сайтах, включая те, которые были обнаружены в результате предыдущих нарушений безопасности.
WordPress принимает меры для блокировки атак
Сообщество WordPress приняло меры для защиты взломанных плагинов, внедрив обязательный сброс пароля и призвав создателей плагинов использовать двухфакторную аутентификацию для предотвращения компрометации в будущем.
WordPress реализовал временную меру, чтобы остановить новые обновления плагинов из источника, если они не были одобрены их командой, гарантируя, что любые потенциальные обновления не содержат вредоносных бэкдоров. К понедельнику WordPress объявил, что пауза в выпуске плагинов снята.
С сегодняшнего дня мы требуем сброса паролей для авторов плагинов и других затронутых пользователей, чья информация была раскрыта в результате утечки данных. Эта мера может временно повлиять на вашу возможность доступа к WordPress.org или принятия обязательств, пока вы не обновите свой пароль.
Как опытный веб-мастер, я могу сказать вам, что, когда мне придет время сменить пароль каталога плагинов, я получу от них уведомление по электронной почте. Важно отметить, что мне не нужно предпринимать какие-либо действия до получения этого сообщения.
В беседе в ветке комментариев WordPress выяснилось, что с создателями плагинов, которые были отмечены за использование «переработанных» паролей, WordPress не связался напрямую, поскольку было обнаружено, что некоторые адреса электронной почты в списке нарушений данных на самом деле имели безопасные учетные данные. (это называлось ложными срабатываниями). И наоборот, было обнаружено, что некоторые учетные записи, предположительно безопасные, на самом деле были взломаны (ложноотрицательные результаты), что побудило WordPress внедрить текущую меру по обязательному сбросу пароля.
«Это правда, что прямой контакт с людьми по поводу утечки данных может усилить их беспокойство, но, к сожалению, не все пользователи, которых следует уведомить, попадают в эту категорию. С момента возникновения этой проблемы мы индивидуально обратились к тем пользователям, которые мы уверены, что это повлияло».
Смотрите также
- Акции привилегированные KZIZP. Красногорский завод им. С.А. Зверева: прогноз акций привилегированных.
- Официально: Bing Search удаляет ссылку на кэш
- Обновление политики Google Ads в отношении азартных игр и игр от 14 апреля
- Клиентская сторона против. Серверный рендеринг
- Еженедельный Крипто-Цирк: Терра, Трамп и безумный мир цифровых монет.
- Назначение правильных значений конверсии, чтобы назначение ставок на основе ценности работало для привлечения лидов
- Оптимизация поиска с помощью ИИ: сделайте ваши структурированные данные доступными
- API индексирования Google не работает из-за некоторых проблем с индексированием…
- Доходы от поиска Google выросли на 14% во втором квартале 2024 года
- Напряженность растет: телефон Путина все еще открыт для звонка Трампа… Может быть, 🤔
2024-07-04 16:55