今日、いくつかの一般的なプラグインが攻撃者によって侵害された後、Wordpress.orgがすべてのユーザーのアクセスパスワードを変更したことがわかりました。 Wordpressチームは、プラグイン構造にサードパーティのコードが含まれているいくつかのプラグインを見つけました。 作成者ではなく誰かが、悪意のあるソフトウェアを有効にしたプラグインの「更新バージョン」をダウンロードしました。
サービスチームは非常に迅速に対応し、プラグインバージョンをロールバックし、ユーザーの更新を無効にし、プラグインリポジトリーへのユーザーアクセスを(検証の時点で)遮断しました。
AddThis、WPtouch、W3 Total Cacheなど、ユーザーの間でよく知られている人気のあるプラグインが危険にさらされました。 予防策として、WordPress.orgはすべてのWordPress.orgユーザーにパスワードの変更を求めます。 このようなソリューションはWordPressベースのブログには影響しませんが、WordPress.orgユーザーには影響します。 WordPressフォーラムにアクセスし、プラグインまたはテーマをダウンロードするには、パスワードを新しいものに変更する必要があります。 BuddyPress.orgを使用するbbPress.orgサイトでも同じことが言えます。
ところで、Wordpressがサイバー犯罪者の標的になったのはこれが初めてではありません。 WordPress.comは、今年4月の攻撃者の行動の影響をすでに受けています。
WordPress.orgチームは非常に迅速に行動しているようで、これまでのところ、攻撃者の行動の影響を受けるユーザーから情報を受け取っていません。
wordpress.org経由