WordPress.org 插件作者账号被爆有密码泄露撞库风险,请立即修改密码。

小雨 的头像
191 次浏览

如果你在 WordPress 官网提交过插件,那么大概率近期会收到一份提醒密码重置的邮件,而且现在登录账号也会提醒需要进行重置后才能登录。

具体原因已在通知邮件中进行标注,是因为有人利用开发者账号提交了包含恶意代码的版本问题,文派茶馆将会在后续进行细节梳理。

以下是邮件正文,开发者账户的个人/团队,请及时查阅并修改,必要时看开启 2FA 两步验证加强安全性。

Hello wpfanyi,

作为对 Andrew Wilder (NerdPress) 和 Chloe Chamberland (WordFence) 报告揭示的一些被攻击插件的后续行动,插件审核团队希望提供更多关于该事件的详细信息。

我们发现一些插件作者在其他地方的数据泄露中使用了暴露的密码。被攻击的账户并不是由于 WordPress.org 上的漏洞。相反,攻击者利用这些重复使用的密码,在 WordPress.org 插件目录中的一些插件中添加了恶意代码。

首先,为了谨慎起见,插件的进一步发布已被暂停,所有新的插件提交暂时需要团队的批准。这样,我们可以确保攻击者无法向更多的插件中添加恶意代码。

我们已经开始强制重置所有插件作者和一些其他用户的密码,这些用户的信息在安全研究人员发现的数据泄露中被发现。这将影响一些用户与 WordPress.org 互动或进行提交的能力,直到他们的密码被重置。

**** 关于密码停用的信息 ****

如果你是插件作者或提交者,你的密码已被停用。如果你在 WordPress.org 上有一个现有的开放会话,你将被登出并需要重置你的密码。

要重置你的密码并重新获得账户访问权限,请按照以下步骤操作:

  1. 访问 login.wordpress.org
  2. 点击 “Lost password?” 链接
  3. 输入你的 WordPress.org 用户名
  4. 点击 “Get new password” 按钮
  5. 打开你的电子邮件并点击链接设置新密码

重置密码后,我们建议你为账户启用双因素认证 (2FA) 并遵循最近概述的最佳实践。
https://make.wordpress.org/plugins/2024/06/26/keeping-your-plugin-committer-accounts-secure/

如果你遇到任何问题,请联系 forum-password-resets@wordpress.org 。

我们绝不会通过电子邮件向你索要密码。

WordPress.org 团队


https://wptea.com/?p=9349


发表评论

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注