WordPress.org, password reset innescata da tre plugin malevoli


I tecnici di WordPress hanno comunicato di aver dovuto resettare tutte le password degli utenti registrati al servizio Wordpress.org in seguito al rilevamento di contaminazioni ricollegabili all'azione di un gruppo di hacker. La notifica arriva direttamente da Matt Mullenweg che ha pubblicato un post sul blog di WordPress.org. La causa di tale provvedimento risiede nella presenza di speciali backdoor all’interno di plugin molto popolari quali AddThis, WPtouch e W3 Total Cache.  

Il reset delle password personali degli utenti interessano l’accesso al forum, a plugin e temi (lo stesso vale per bbPress.org e BuddyPress.org). "Come utente, assicurarsi di non usare mai la stessa password per due servizi diversi, e vi incoraggiamo a non reimpostare password uguali a quello vecchia", avverte Matt Mullenweg. Al momento non sono stati resi noti molti dettagli sull'accaduto, che è ancora in fase d'investigazione. 

A quanto pare alcuni malintenzionati avrebbero applicato delle modifiche ai tre plugin per WordPress offerti sul sito ufficiale del progetto. Per proteggere il proprio blog da eventuali attacchi, Mullenweg consiglia a tutti gli utenti che hanno installato o aggiornato i tre plugin nelle ultime ore di verificare l’eventuale disponibilità di aggiornamenti e procedere con un ulteriore update che cancella i plug-in truffaldini. 

Soltanto in questo modo le modifiche compiute da terze parti sulle repository dei plugin verranno annullate. Precisiamo che l'allarme riguarda esclusivamente gli utilizzatori dei plugin coinvolti, l'applicazione in se non dovrebbe invece essere stata "bucata", i danni derivanti dalle backdoor dovrebbero comunque essere di scarsa entità dato che il problema è stato rilevato tempestivamente e circoscritto.

Nessun commento:

Posta un commento