如果你在 WordPress 官網提交過插件,那麼大概率近期會收到一份提醒密碼重置的郵件,而且現在登錄賬號也會提醒需要進行重置後才能登錄。
具體原因已在通知郵件中進行標註,是因為有人利用開發者賬號提交了包含惡意代碼的版本問題,文派茶館將會在後續進行細節梳理。
以下是郵件正文,開發者賬户的個人/團隊,請及時查閲並修改,必要時看開啓 2FA 兩步驗證加強安全性。
Hello wpfanyi,
作為對 Andrew Wilder (NerdPress) 和 Chloe Chamberland (WordFence) 報告揭示的一些被攻擊插件的後續行動,插件審核團隊希望提供更多關於該事件的詳細信息。
我們發現一些插件作者在其他地方的數據泄露中使用了暴露的密碼。被攻擊的賬户並不是由於 WordPress.org 上的漏洞。相反,攻擊者利用這些重複使用的密碼,在 WordPress.org 插件目錄中的一些插件中添加了惡意代碼。
首先,為了謹慎起見,插件的進一步發佈已被暫停,所有新的插件提交暫時需要團隊的批准。這樣,我們可以確保攻擊者無法向更多的插件中添加惡意代碼。
我們已經開始強制重置所有插件作者和一些其他用户的密碼,這些用户的信息在安全研究人員發現的數據泄露中被發現。這將影響一些用户與 WordPress.org 互動或進行提交的能力,直到他們的密碼被重置。
**** 關於密碼停用的信息 ****
如果你是插件作者或提交者,你的密碼已被停用。如果你在 WordPress.org 上有一個現有的開放會話,你將被登出並需要重置你的密碼。
要重置你的密碼並重新獲得賬户訪問權限,請按照以下步驟操作:
- 訪問 login.wordpress.org
- 點擊 「Lost password?」 鏈接
- 輸入你的 WordPress.org 用户名
- 點擊 「Get new password」 按鈕
- 打開你的電子郵件並點擊鏈接設置新密碼
重置密碼後,我們建議你為賬户啓用雙因素認證 (2FA) 並遵循最近概述的最佳實踐。
https://make.wordpress.org/plugins/2024/06/26/keeping-your-plugin-committer-accounts-secure/
如果你遇到任何問題,請聯繫 forum-password-resets@wordpress.org 。
我們絕不會通過電子郵件向你索要密碼。
WordPress.org 團隊
發表回覆