O WordPress informou recentemente que interrompeu as atualizações do plugin e está realizando uma reinicialização obrigatória das senhas dos autores dos plugins, com o objetivo de prevenir mais comprometimentos nos sites devido a ataques contínuos à cadeia de suprimentos de plugins do WordPress.
Ataque direcionado à cadeia de abastecimento.
Hackers têm realizado ataques aos plugins diretamente de sua origem, utilizando credenciais de senha expostas em violações de dados anteriores que não estão ligadas ao WordPress em si. Eles buscam por credenciais comprometidas de autores de plugins que utilizam senhas idênticas em diversos sites, incluindo aquelas expostas em violações de dados anteriores.
WordPress está tomando medidas para impedir ataques.
Alguns complementos foram afetados e a comunidade do WordPress se uniu para reforçar a segurança em relação a novas violações de complementos, implementando uma redefinição obrigatória de senhas e encorajando os desenvolvedores dos complementos a adotarem a autenticação de dois fatores.
O WordPress interrompeu temporariamente a publicação de novas atualizações de plugins em sua fonte, a menos que tenham sido aprovadas pela equipe para evitar a inserção de códigos maliciosos. No entanto, na segunda-feira, o WordPress atualizou seu comunicado para informar que a publicação de novas atualizações de plugins foi retomada.
A divulgação feita pelo WordPress sobre a necessidade de alteração de senha.
Iniciamos o processo de alteração de senhas para todos os desenvolvedores do plugin, assim como para outros usuários cujos dados foram descobertos por pesquisadores em violações de segurança. Isso pode impactar a capacidade de alguns usuários de se conectar ao WordPress.org ou de realizar modificações até que sua senha seja alterada.
Você será contatado pelo Diretório Plugin por e-mail quando for necessário redefinir sua senha. Não é preciso tomar nenhuma ação antes de receber a notificação.
Uma troca de opiniões em um fórum entre um membro da comunidade do WordPress e o autor do anúncio revelou que o WordPress não entrou em contato diretamente com os autores dos plugins identificados como usando senhas “recicladas”. Isso ocorreu devido à presença de indícios de que a lista de usuários encontrada em uma violação de dados continha credenciais seguras (falsos positivos). Também foi descoberto que algumas contas consideradas seguras estavam comprometidas (falsos negativos). Essa situação resultou na atual ação de obrigar a redefinição de senhas.
Francisco Torres, que trabalha na equipe do WordPress, deu uma resposta.
Paráfrase do texto: “Você acredita que alertar diretamente esses indivíduos sobre o vazamento de seus dados pode aumentar a sensibilidade deles. No entanto, é importante ressaltar que essa informação pode não ser precisa para todos os usuários e alguns podem não ter sido notificados. Desde o início, temos informado individualmente os usuários cujos dados foram comprometidos.”
Confira o comunicado oficial do WordPress.
É necessário redefinir a senha dos criadores do plugin.
Imagem principal fornecida por Shutterstock/Aleutie.