上周末,WordPress 宣布了一项重大举措:暂停插件更新并强制重置插件作者的密码。这一举措是对抗插件供应链攻击的重要步骤,旨在防止因持续的供应链攻击导致的网站进一步被黑客侵入。
揭秘插件供应链攻击
插件供应链攻击是一种黑客直接从源头对插件发起攻击的手段。攻击者利用先前数据泄露中暴露的密码凭证(这些泄露事件与 WordPress 本身无关),针对那些在多个网站上重复使用相同密码的插件作者,特别是那些在以前的数据泄露事件中已被曝光的密码。
WordPress 的迅速反应
部分插件已经被攻破,但 WordPress 社区迅速采取了行动。为了遏制更多插件遭受侵袭,社区实施了强制密码重置措施,并鼓励插件作者启用双因素认证。为了确保插件不会被恶意后门更新,WordPress 暂时封锁了所有新的插件更新,除非经过团队审批。到了周一,WordPress 更新了公告,确认已解除对插件发布的暂停。
强制密码重置公告
“我们已经开始强制重置所有插件作者及其他用户在数据泄露中被安全研究人员发现的账户密码。这将影响某些用户与 WordPress.org 的互动能力,直到他们重置密码为止。需要重置密码的用户会收到插件目录的邮件通知。在此之前无需采取任何行动。”
背后的讨论
在评论区的一次讨论中,一位 WordPress 社区成员与公告作者之间的对话揭示了 WordPress 并未直接联系那些被识别出使用“循环”密码的插件作者的原因。这是因为有证据表明,数据泄露列表中部分用户的凭证实际上是安全的(误报)。同时,WordPress 还发现了一些被认为安全的账户实际上已被攻破的情况(漏报)。这些发现促使 WordPress 采取了当前的强制密码重置行动。
社区的回应
WordPress 的 Francisco Torres 解释道:“确实,直接联系这些个人并告知他们的数据已在数据泄露中被发现,可能会让他们更加敏感。但不幸的是,对于某些用户来说,这种信息可能是不准确的,而且还会有人被遗漏。自从这个问题出现以来,我们一直对确定已被攻破的用户进行个别通知。”
总结
此次行动展现了 WordPress 对保护用户安全的坚定承诺,以及在面对不断演变的安全威胁时的敏捷应对。通过这一系列措施,WordPress 不仅增强了平台的安全性,也为广大用户提供了一个更加安全可靠的网络环境。