如果你在 WordPress 官網提交過外掛,那麼大機率近期會收到一份提醒密碼重置的郵件,而且現在登入賬號也會提醒需要進行重置後才能登入。
具體原因已在通知郵件中進行標註,是因為有人利用開發者賬號提交了包含惡意程式碼的版本問題,文派茶館將會在後續進行細節梳理。
以下是郵件正文,開發者賬戶的個人/團隊,請及時查閱並修改,必要時看開啟 2FA 兩步驗證加強安全性。
Hello wpfanyi,
作為對 Andrew Wilder (NerdPress) 和 Chloe Chamberland (WordFence) 報告揭示的一些被攻擊外掛的後續行動,外掛稽覈團隊希望提供更多關於該事件的詳細資訊。
我們發現一些外掛作者在其他地方的資料洩露中使用了暴露的密碼。被攻擊的賬戶並不是由於 WordPress.org 上的漏洞。相反,攻擊者利用這些重複使用的密碼,在 WordPress.org 外掛目錄中的一些外掛中新增了惡意程式碼。
首先,為了謹慎起見,外掛的進一步釋出已被暫停,所有新的外掛提交暫時需要團隊的批准。這樣,我們可以確保攻擊者無法向更多的外掛中新增惡意程式碼。
我們已經開始強制重置所有外掛作者和一些其他使用者的密碼,這些使用者的資訊在安全研究人員發現的資料洩露中被發現。這將影響一些使用者與 WordPress.org 互動或進行提交的能力,直到他們的密碼被重置。
**** 關於密碼停用的資訊 ****
如果你是外掛作者或提交者,你的密碼已被停用。如果你在 WordPress.org 上有一個現有的開放會話,你將被登出並需要重置你的密碼。
要重置你的密碼並重新獲得賬戶訪問許可權,請按照以下步驟操作:
- 訪問 login.wordpress.org
- 點選 「Lost password?」 連結
- 輸入你的 WordPress.org 使用者名稱
- 點選 「Get new password」 按鈕
- 開啟你的電子郵件並點選連結設定新密碼
重置密碼後,我們建議你為賬戶啟用雙因素認證 (2FA) 並遵循最近概述的最佳實踐。
https://make.wordpress.org/plugins/2024/06/26/keeping-your-plugin-committer-accounts-secure/
如果你遇到任何問題,請聯絡 forum-password-resets@wordpress.org 。
我們絕不會透過電子郵件向你索要密碼。
WordPress.org 團隊
發表回覆