דף הבית » חדשות ועדכונים

מאגר התוספים של וורדפרס נפרץ כל הסיסמאות אופסו

23 ביוני 2011 | מאת רמי | תגובה אחת | תגיות: ,

וורדפרס מודיעה כי מאגר התוספים שלה נפרץ וכי למספר תוספים פופולאריים התווספה דלת אחורית מאוד מתוחכמת. כיוון שהיה חשד שהשינויים לא בוצעו על ידי המפתחים, הוחזרו הגרסאות הישנות של התוספים טרם הוספת הקוד הזדוני וכל הסיסמאות באתר אופסו.

אבטחת וורדפרס

אבטחת וורדפרס

הפריצה לאתר וורדפרס מתווספת לגל פריצות ששוטף את האינטרנט בחודשים האחרונים ביניהם הפריצה לחשבונות ג'ימייל, פריצה למחשבי יצרנית המטוסים לוקהיד-מרטין, פריצה והשבתה של ה-PSN רשת המשחקים של סוני, פריצה למאגר המשתמשים של RSA ועוד עשרות מקרים של פריצות מתוכחמות.

בדומה לכל הפרצית האחרות, גם הפריצה הנוכחית מתוחכמת למדי. כאשר תוסף כלשהו מתעדכן במאגרת התוספים של וורדפרס, כל בעלי האתרים שעושים שימוש בתוסף זה מקבלים הודעה בלוח הבקרה שלהם בדבר הגרסה החדשה ולינק לביצוע שדרוג מידי (פעולה שעורך שניות בודדות). בגלל הקלות בה מתבצע השדרוג, וורדפרס הפכה לפלטפורמה כה פופולארית אך מצד שני בגלל הקלות הזו המשתמשים לא בודקים את מהות העדכון ואת השינויים.

הוספת דלת אחורית לתוסף בודד נותנת לגורם לא מורשה שליטה על תוסף שמשרת עשרות אלפי אתרים, ואם התוסף מאוד פופולארי היא מאפשר גישה למיליוני אתרים ברחבי הרשת. מיליוני אתרים שבהם גולשים עשרות אם לא מאות מיליוני גולשים. משם הדרך להוספת קוד זדוני לאתר היא פשוטה מאוד.

על פי ההודעה ידוע על שלושה תוספים ששונו  AddThis, WPtouch, ו-W3 Total Cache . אם בימים האחרונים ביצעתם שדרוג של אחד מהתוספים, מומלץ למחוק אותו לחלוטין ולהתקין מחדש.

כיוון שמפתח תוסף פופולארי לא יוסיף במודע דלת האחורית לתוסף שלו, ההנחה היא שהפורצים השיגו סיסמאות לחשבונות של המפתחים באתר וורדפרס. ומשום שלא ידוע כמה חשבונות חשופים, התקבלה החלטה לאפס סיסמאות של כל החשבונות באתר וורדפרס ובאתרי האחות כמו אתר bbPress.org ואתר BuddyPress.org. חלק יגידו שהתגובה קצת קיצונית, אבל לדעתי היא מידתית כי מדובר באבטחה.

מאת רמי

אחראי על אתר וורדפרס בעברית ועל תרגום ושחרור גרסאות וורדפרס בעברית. מפתח ליבה, בכל גרסה החל מגרסה 2.8, מפתח מוביל בגרסה 4.4 ובגרסה 4.6. מספק שירותי פיתוח אתרים, פיתוח תוספי וורדפרס לסטרטאפים ופיתוח כלים למפתחי וורדפרס - GenerateWP.com.

תגובה אחת »

  • Ariel כותב :

    מידע חשוב מאוד!
    במיוחד שמדובר בתוספים מאוד פופולארים שאנשים מעדכנים ללא היסוס.

הוסף תגובה !

נא לא לשאול שאלות שלא קשורות לפוסט, זהו לא פורום תמיכה. לבעיות אישיות ונושאים מורכבים אפשר ליצור איתי קשר.

תגיות HTML מורשות לשימוש:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>