WordPress, hafta sonu, WordPress eklentilerine yönelik devam eden Tedarik Zinciri Saldırısı nedeniyle web sitesinin daha fazla tehlikeye atılmasını önlemek amacıyla eklenti güncellemelerini duraklattığını ve eklenti yazarı parolalarında zorunlu sıfırlama başlattığını duyurdu.
Tedarik Zinciri Saldırısı
Hacker’lar, önceki veri ihlallerinde (WordPress’in kendisiyle ilgisi olmayan) ifşa edilen parola kimlik bilgilerini kullanarak eklentilere doğrudan kaynaktan saldırıyor. Hacker’lar, birden fazla web sitesinde aynı parolaları kullanan eklenti yazarları tarafından kullanılan tehlikeye atılmış kimlik bilgilerini arıyor (önceki bir veri ihlalinde ifşa edilen parolalar dahil).
WordPress Saldırıları Engellemek İçin Harekete Geçiyor
Bazı eklentiler WordPress topluluğu tarafından tehlikeye atıldı ve eklentilerin daha fazla tehlikeye atılmasını önlemek için zorunlu parola sıfırlama uygulaması başlatıldı ve eklenti yazarları 2 faktörlü kimlik doğrulamayı kullanmaya teşvik edildi.
WordPress ayrıca, bir eklentinin kötü amaçlı arka kapılarla güncellenmediğinden emin olmak için ekip onayı almadıkları sürece tüm yeni eklenti güncellemelerini kaynakta geçici olarak engelledi. Pazartesi günü WordPress, eklenti sürümlerinin artık duraklatılmadığını doğrulamak için gönderilerini güncelledi.
WordPress’in zorunlu şifre sıfırlama duyurusu:
“Tüm eklenti yazarları ve güvenlik araştırmacıları tarafından veri ihlallerinde bilgileri bulunan diğer kullanıcılar için parolaları sıfırlamayı zorunlu kılmaya başladık. Bu, bazı kullanıcıların parolaları sıfırlanana kadar WordPress.org ile etkileşim kurma veya taahhütte bulunma yeteneklerini etkileyecektir.
Şifrenizi sıfırlamanız gerektiğinde Eklenti Dizini’nden bir e-posta alacaksınız. Bildirim gelmeden önce herhangi bir işlem yapmanıza gerek yok.”
WordPress topluluk üyesi ile duyurunun yazarı arasındaki bölüm, WordPress’in “geri dönüştürülmüş” parolalar kullandığı belirlenen eklenti yazarlarıyla doğrudan iletişime geçmediğini, çünkü veri ihlali listesinde bulunan kullanıcıların kimlik bilgilerinin aslında güvenli olduğuna dair kanıtların (yanlış pozitifler) olduğunu ortaya koydu. WordPress ayrıca, güvenli olduğu varsayılan bazı hesapların aslında tehlikeye atıldığını (yanlış negatifler) keşfetti. Bu, parola sıfırlamalarını zorlama eyleminin şu anki haline yol açtı.
WordPress’ten Francisco Torres cevaplandı:
“Verilerinin veri ihlallerinde bulunduğunu belirten kişilere özel olarak ulaşmanın onları daha da hassas hale getireceği konusunda haklısınız, ancak ne yazık ki daha önce de belirttiğim gibi bu bazı kullanıcılar için yanlış olabilir ve eksik olan başkaları da olabilir. Bu sorunun başlangıcından bu yana yaptığımız şey, tehlikeye atıldığından emin olduğumuz kullanıcıları tek tek bilgilendirmek oldu.”
Resmi WordPress duyurusunu okuyun:
0 Yorumlar