WordPress борется с атаками плагинов через @sejournal, @martinibuster

WordPress борется с атаками плагинов через @sejournal, @martinibuster

Как опытный веб-мастер, который справился со своей долей проблем безопасности веб-сайтов, я искренне аплодирую WordPress за быстрые и решительные действия в ответ на продолжающуюся атаку цепочки поставок на их плагины. Тот факт, что хакерам удалось скомпрометировать плагины в их источнике, используя переработанные пароли, используемые авторами плагинов, является серьезной проблемой, требующей немедленного внимания.


На выходных WordPress сделал объявление. Они приняли немедленные меры, остановив обновления плагинов и сбросив пароли для авторов плагинов в рамках своего ответа на продолжающуюся атаку на цепочку поставок, нацеленную на плагины WordPress. Эта мера была направлена ​​на минимизацию дальнейшего взлома веб-сайта.

Атака на цепочку поставок

Как эксперт по SEO, я бы посоветовал, чтобы уязвимости плагинов использовались непосредственно в их источнике из-за раскрытия учетных данных пароля в результате прошлых утечек данных, не связанных с самим WordPress. Хакеры ищут скомпрометированные учетные данные, используемые разработчиками плагинов, которые, к сожалению, используют одни и те же пароли на различных веб-сайтах, включая те, которые были обнаружены в результате предыдущих нарушений безопасности.

WordPress принимает меры для блокировки атак

Сообщество WordPress приняло меры для защиты взломанных плагинов, внедрив обязательный сброс пароля и призвав создателей плагинов использовать двухфакторную аутентификацию для предотвращения компрометации в будущем.

WordPress реализовал временную меру, чтобы остановить новые обновления плагинов из источника, если они не были одобрены их командой, гарантируя, что любые потенциальные обновления не содержат вредоносных бэкдоров. К понедельнику WordPress объявил, что пауза в выпуске плагинов снята.

С сегодняшнего дня мы требуем сброса паролей для авторов плагинов и других затронутых пользователей, чья информация была раскрыта в результате утечки данных. Эта мера может временно повлиять на вашу возможность доступа к WordPress.org или принятия обязательств, пока вы не обновите свой пароль.

Как опытный веб-мастер, я могу сказать вам, что, когда мне придет время сменить пароль каталога плагинов, я получу от них уведомление по электронной почте. Важно отметить, что мне не нужно предпринимать какие-либо действия до получения этого сообщения.

В беседе в ветке комментариев WordPress выяснилось, что с создателями плагинов, которые были отмечены за использование «переработанных» паролей, WordPress не связался напрямую, поскольку было обнаружено, что некоторые адреса электронной почты в списке нарушений данных на самом деле имели безопасные учетные данные. (это называлось ложными срабатываниями). И наоборот, было обнаружено, что некоторые учетные записи, предположительно безопасные, на самом деле были взломаны (ложноотрицательные результаты), что побудило WordPress внедрить текущую меру по обязательному сбросу пароля.

«Это правда, что прямой контакт с людьми по поводу утечки данных может усилить их беспокойство, но, к сожалению, не все пользователи, которых следует уведомить, попадают в эту категорию. С момента возникновения этой проблемы мы индивидуально обратились к тем пользователям, которые мы уверены, что это повлияло».

Смотрите также

2024-07-04 16:55