大家好,WordPress 小伙伴们!最近 WordPress 的安全团队捕捉到了一波新的网络钓鱼攻击,这次居然冒充了 “ WordPress 团队 ” 和 “ WordPress 安全团队 ”,嚣张地试图说服我们去安装一个所谓 “ 神秘插件 ” —— 这尼玛也太不靠谱了吧!
首先,作为 WordPress 技术博主,得给大家普及一下。WordPress 安全团队是不会在邮件里呼喊:“老铁,快给我装个插件呗!”更别说要求你的管理员用户名和密码了。如果你收到这种邮件,拜托,千万别轻信,很可能是 “ 套路 ”!
而且这些骗子居然还敢把邮件里的链接指向一个仿冒的 WordPress 插件仓库,简直是在 “ 玩火 ” 啊。
要分辨真伪的 WordPress 邮件也是一门学问,他们:
- 用 @wordpress.org 或 @wordpress.net 域发邮件。
- 邮件详情里有个 “ Signed by: wordpress.org ” 的标记。
- 我来给大家秀个 WordPress.org 邮件的截图,看看这个 “ mailed-by wordpress.org ” 和 “ signed-by wordpress.org ” 是不是真的有。
而 WordPress 安全团队可不是什么地方都敢发邮件,他们只在两个地方正大光明地与你通信:
- 使 WordPress 更安全的博客:make.wordpress.org/security
- WordPress 主要新闻站:wordpress.org/news
WordPress 插件团队则更懒,他们可不直接搭理插件用户,只给插件支持人员、拥有者和贡献者发邮件。这些邮件从 plugins@wordpress.org 发出,也是带有上述标记的。
如果要访问 WordPress 插件库,就直接在 WordPress 仪表盘的插件菜单里找就好,省得跑太远。
由于 WordPress 是 CMS 中的 “ 霸主 ”,这种骗局还是会偶尔发生。大家一定要保持警惕,别轻信那些 “ 大神 ” 来信,说要给你安装 “ 超级牛X ” 的主题或插件。
最后,Scamwatch 网站提供了一些建议,帮你识别可能是骗局的邮件和短信。大家也可以去瞄一眼,学点反诈的小技巧。
总之,保护 WordPress 的安全,也是我们每位 WordPress 使用者的责任。如果你发现了 WordPress 的安全漏洞,别客气,赶紧私下在 WordPress 安全团队的 HackerOne 页面上报告问题。让我们一起守护 WordPress 的家园,不给骗子们可乘之机!
原文出自:https://wordpress.org/news/2023/12/alert-wordpress-security-team-impersonation-scams/