如果你在 WordPress 官网提交过插件,那么大概率近期会收到一份提醒密码重置的邮件,而且现在登录账号也会提醒需要进行重置后才能登录。
具体原因已在通知邮件中进行标注,是因为有人利用开发者账号提交了包含恶意代码的版本问题,道言将会在后续进行细节梳理。
以下是邮件正文,开发者账户的个人/团队,请及时查阅并修改,必要时看开启 2FA 两步验证加强安全性。
Hello wpfanyi,
作为对 Andrew Wilder (NerdPress) 和 Chloe Chamberland (WordFence) 报告揭示的一些被攻击插件的后续行动,插件审核团队希望提供更多关于该事件的详细信息。
我们发现一些插件作者在其他地方的数据泄露中使用了暴露的密码。被攻击的账户并不是由于 WordPress.org 上的漏洞。相反,攻击者利用这些重复使用的密码,在 WordPress.org 插件目录中的一些插件中添加了恶意代码。
首先,为了谨慎起见,插件的进一步发布已被暂停,所有新的插件提交暂时需要团队的批准。这样,我们可以确保攻击者无法向更多的插件中添加恶意代码。
我们已经开始强制重置所有插件作者和一些其他用户的密码,这些用户的信息在安全研究人员发现的数据泄露中被发现。这将影响一些用户与 WordPress.org 互动或进行提交的能力,直到他们的密码被重置。
关于密码停用的信息
如果你是插件作者或提交者,你的密码已被停用。如果你在 WordPress.org 上有一个现有的开放会话,你将被登出并需要重置你的密码。
要重置你的密码并重新获得账户访问权限,请按照以下步骤操作:
- 访问 login.wordpress.org
- 点击 “Lost password?” 链接
- 输入你的 WordPress.org 用户名
- 点击 “Get new password” 按钮
- 打开你的电子邮件并点击链接设置新密码
重置密码后,我们建议你为账户启用双因素认证 (2FA) 并遵循最近概述的最佳实践。
https://make.wordpress.org/plugins/2024/06/26/keeping-your-plugin-committer-accounts-secure/
如果你遇到任何问题,请联系 forum-password-resets@wordpress.org 。
我们绝不会通过电子邮件向你索要密码。
WordPress.org 团队
没有回复内容