WordPress Combatte gli Attacchi Ai Plugin

WordPress prende una morsa sugli attacchi ai plugin WordPress ha annunciato nel weekend che avrebbero messo in pausa gli aggiornamenti dei plugin e avviato un reset forzato delle password degli autori dei plugin per evitare compromissioni aggiuntive dei siti web a causa dell’attuale attacco alla catena di approvvigionamento sui plugin di WordPress. Attacco alla catena […]

WordPress prende una morsa sugli attacchi ai plugin

WordPress ha annunciato nel weekend che avrebbero messo in pausa gli aggiornamenti dei plugin e avviato un reset forzato delle password degli autori dei plugin per evitare compromissioni aggiuntive dei siti web a causa dell’attuale attacco alla catena di approvvigionamento sui plugin di WordPress.

Attacco alla catena di approvvigionamento

Gli hacker stanno attaccando direttamente i plugin alla fonte utilizzando credenziali di password esposte in precedenti violazioni di dati (non correlati a WordPress stesso). Gli hacker cercano credenziali compromesse utilizzate dagli autori dei plugin che utilizzano le stesse password su più siti web (inclusi password esposte in una violazione di dati precedente).

WordPress prende provvedimenti per bloccare gli attacchi

Alcuni plugin sono stati compromessi, ma la comunità di WordPress si è mobilitata per mettere un freno alle compromissioni dei plugin istituendo un reset forzato delle password e incoraggiando gli autori dei plugin a utilizzare l’autenticazione a due fattori.

WordPress ha inoltre temporaneamente bloccato tutti i nuovi aggiornamenti dei plugin alla fonte a meno che non ricevessero l’approvazione del team per assicurarsi che un plugin non venga aggiornato con backdoor dannose. Lunedì WordPress ha aggiornato il proprio post per confermare che i rilasci dei plugin non sono più in pausa.

L’annuncio di WordPress sul reset forzato delle password:

“Inizieremo a forzare il reset delle password per tutti gli autori dei plugin, così come per gli altri utenti il cui le informazioni sono state trovate dai ricercatori in violazioni di dati. Questo influenzerà la capacità di alcuni utenti di interagire con WordPress.org o effettuare commit fino a quando la loro password non sarà reimpostata. Riceverai un’email dal Plugin Directory quando sarà il momento di reimpostare la tua password. Non è necessario agire prima di essere notificati.”

Una discussione nei commenti tra un membro della comunità di WordPress e l’autore dell’annuncio ha rivelato che WordPress non ha contattato direttamente gli autori dei plugin identificati come utilizzatori di password “riciclate” perché c’era evidenza che l’elenco di utenti trovato nella lista delle violazioni di dati le cui credenziali erano effettivamente sicure (falsi positivi). WordPress ha anche scoperto che alcuni account che si pensava fossero sicuri erano in realtà compromessi (falsi negativi). Questo ha portato all’azione attuale di forzare il reset delle password.

Francisco Torres di WordPress ha risposto:

“Hai ragione nel dire che contattare specificamente quegli individui menzionando che i loro dati sono stati trovati nelle violazioni di dati li renderà ancora più sensibili, ma sfortunatamente, come ho già detto, potrebbe essere inesatta per alcuni utenti e ce ne saranno altri che mancano. Fin dall’inizio di questo problema abbiamo notificato individualmente quegli utenti che siamo certi siano stati compromessi.”

Leggi l’annuncio ufficiale di WordPress su:
Reset della password richiesto per gli autori dei plugin

Immagine in evidenza di Shutterstock/Aleutie

Condividi: