Сегодня стало известно о том, что Wordpress.org поменял пароли доступа для всех пользователей, после того, как несколько популярных плагинов были скомпрометированы злоумышленниками. Команда Wordpress обнаружила несколько плагинов с включенным в структуру плагина сторонним кодом. Кто-то (не авторы) загрузил «обновленные версии» плагинов с включенным зловредным ПО.
Команда сервиса действовала довольно быстро, откатив версии плагинов, отключив обновление для пользователей, и отрубив пользователям доступ к репозитарию плагинов (на время проверки).
Скомпрометированными оказались такие известные и популярные в среде пользователей плагины, как AddThis, WPtouch и W3 Total Cache. В качестве превентивной меры, WordPress.org просит всех пользователей WordPress.org сменить пароли. Такое решение не повлияет на блоги на платформе WordPress, однако затронет пользователей WordPress.org. Для того, чтобы получить доступ к форумам WordPress, загрузить плагин или тему, необходимо сменить пароль на новый. То же касается и площадок bbPress.org с BuddyPress.org.
К слову, это не первый раз, когда Wordpress становится целью киберпреступников. WordPress.com уже пострадал от действий злоумышленников в апреле этого года.
Похоже на то, что команда WordPress.org действовала действительно достаточно быстро, и пока что не поступало сведений от пользователей, пострадавших из-за действий злоумышленников.
Via wordpress.org
