Сегодня рано утром команда WordPress обнаружили что в нескольких популярных плагинах (AddThis, WPtouch, и W3 Total Cache) содержатся умело замаскированные бэкдоры. Они также определили что эти бэкдоры были внедрены не авторами плагинов. К плагинам выпустили обновления и закрыли доступ к каталогу плагинов (скачать и установить что-то можно, опубликовать новый плагин нельзя) и занимаются поисками других подозрительных плагинов.
Пока ведутся поиски подозрительных плагинов и выясняется каким образом в эти плагины были внедрены бэкдоры, в целях безопасности Wodpress.Org решили сбросить все пароли пользователей. Теперь для того чтобы пользоватся форумами и другими сервисами WordPress.Org вам необходимо получить новый пароль.
Также в очередной раз команда WordPress напоминает пользователям о том, что в целях повышения безопасности, необходимо для разных сервисов использовать разные пароли.
Также если вы используете один из этих плагинов (AddThis, WPtouch, и W3 Total Cache), обязательно зайдите в панель администрирования блога, и установите обновления для каждого из них.
(Конечно приятно, что команда WordPress так быстро реагирует на появляющиеся уязвимости, но не очень приятно что они возникают таким глупым образом. Совсем не могу придумать каким образом в коде плагинов, без участия авторов, появились бэкдоры. От себя скажу, что если один из этих плагинов установлен на вашем блоге, обновлятся нужно уже сейчас.)
22.06.2011 - 11:27 дп
Спасибо за предупреждение, сменил пароль ;) А вот не знал бы и гадал потом — почему это мой старый пароль не подходит…
23.06.2011 - 9:58 дп
Спасибо, надеюсь вы и дальше будите информировать по этой новости, а то вдруг ещё в других плагинах найдут бэкдоры. Сам пользуюсь wordpress, но, слава Богу, не использовал ни один из этих плагинов.
23.06.2011 - 11:01 пп
Большое спасибо за предупреждение!
Будем знать.