وردپرس در آخر هفته اعلام کرد که بهروزرسانیهای افزونهها را متوقف میکند و یک بازنشانی اجباری روی رمزهای عبور نویسنده افزونه آغاز میکند تا از به خطر افتادن وبسایتهای اضافی به دلیل حمله مداوم زنجیره تأمین به افزونههای وردپرس جلوگیری کند.
حمله زنجیره تامین
هکرها به طور مستقیم به پلاگین ها در منبع با استفاده از اعتبار رمز عبور که در نقض داده های قبلی (بی ارتباط با وردپرس) در معرض دید قرار گرفته اند، حمله می کنند. هکرها به دنبال اعتبارنامه های در معرض خطر هستند که توسط نویسندگان پلاگین استفاده می شود که از رمزهای عبور یکسان در چندین وب سایت استفاده می کنند (از جمله پسوردهایی که در نقض داده های قبلی افشا شده اند).
وردپرس برای مسدود کردن حملات اقدام می کند
برخی از افزونهها توسط جامعه وردپرس در معرض خطر قرار گرفتهاند و با ایجاد بازنشانی اجباری رمز عبور و تشویق نویسندگان افزونه به استفاده از احراز هویت دو عاملی، تلاش کردهاند تا در معرض خطر بیشتر افزونهها قرار بگیرند.
وردپرس همچنین بهطور موقت تمام بهروزرسانیهای افزونه جدید را در منبع مسدود کرد، مگر اینکه تأییدیه تیم را دریافت کنند تا مطمئن شوند که یک افزونه با درهای پشتی مخرب بهروزرسانی نمیشود. تا دوشنبه وردپرس پست خود را به روز کرد تا تأیید کند که انتشار افزونه ها دیگر متوقف نمی شود.
اعلامیه وردپرس در مورد بازنشانی اجباری رمز عبور:
ما شروع به بازنشانی اجباری رمزهای عبور برای همه نویسندگان افزونه و همچنین سایر کاربرانی کردهایم که اطلاعات آنها توسط محققان امنیتی در نقض دادهها پیدا شده است. این بر توانایی برخی از کاربران برای تعامل با WordPress.org یا انجام تعهدات تا زمانی که رمز عبور آنها بازنشانی شود تأثیر می گذارد.
هنگامی که زمان آن است که رمز عبور خود را بازنشانی کنید، یک ایمیل از دایرکتوری افزونه ها دریافت خواهید کرد. قبل از اینکه به شما اطلاع داده شود نیازی به اقدام نیست.»
یک بحث در بخش نظرات بین یکی از اعضای انجمن وردپرس و نویسنده اعلامیه نشان داد که وردپرس مستقیماً با نویسندگان افزونههایی که شناسایی شدهاند از گذرواژههای «بازیافتشده» استفاده میکنند تماس نمیگیرد، زیرا شواهدی وجود دارد که فهرست کاربران در فهرست نقض دادهها یافت شده است. که مدارک آنها در واقع امن بود (اثبات نادرست). وردپرس همچنین متوجه شد که برخی از حسابهایی که تصور میشد امن هستند، در واقع در معرض خطر قرار گرفتهاند (منفی نادرست). این همان چیزی است که منجر به اقدام فعلی اجباری بازنشانی رمز عبور شد.
فرانسیسکو تورس از وردپرس پاسخ داد:
حق با شماست که تماس با آن افراد و ذکر این موضوع که دادههایشان در نقض دادهها پیدا شده است، آنها را حساستر میکند، اما متأسفانه همانطور که قبلاً اشاره کردم ممکن است برای برخی از کاربران نادرست باشد و برخی دیگر وجود خواهند داشت که گم شده اند. کاری که ما از ابتدای این موضوع انجام دادهایم این است که به صورت جداگانه به کاربران اطلاع دهیم که مطمئن هستیم در معرض خطر قرار گرفتهاند.
اطلاعیه رسمی وردپرس را بخوانید:
بازنشانی رمز عبور برای نویسندگان افزونه مورد نیاز است
تصویر ویژه توسط Shutterstock/Aleutie