WordPress đã có những bước tiến đáng kể để chống lại các cuộc tấn công chuỗi cung ứng bằng cách tạm dừng cập nhật plugin và đặt lại mật khẩu.
Cuối tuần qua, WordPress đã thông báo rằng họ sẽ tạm dừng cập nhật plugin và bắt đầu đặt lại mật khẩu bắt buộc cho các tác giả plugin nhằm ngăn chặn các trang web bị xâm nhập thêm do các cuộc tấn công chuỗi cung ứng đang diễn ra trên các plugin của WordPress.
Mục lục
Cuộc tấn công chuỗi cung ứng
Tin tặc đã tấn công trực tiếp vào các plugin bằng cách sử dụng thông tin đăng nhập bị lộ trong các vụ vi phạm dữ liệu trước đây (không liên quan đến WordPress). Những tin tặc này đang tìm kiếm các thông tin đăng nhập bị xâm nhập của các tác giả plugin, những người sử dụng cùng một mật khẩu trên nhiều trang web (bao gồm cả mật khẩu bị lộ trong các vụ vi phạm dữ liệu trước đây).
WordPress hành động để ngăn chặn các cuộc tấn công
Một số plugin đã bị xâm nhập, và cộng đồng WordPress đã cùng nhau thắt chặt việc ngăn chặn các plugin bị xâm nhập thêm bằng cách áp dụng việc đặt lại mật khẩu bắt buộc và khuyến khích các tác giả plugin sử dụng xác thực hai yếu tố.
WordPress cũng tạm thời chặn tất cả các cập nhật plugin mới tại nguồn trừ khi nhận được sự chấp thuận của đội ngũ, nhằm đảm bảo rằng plugin không bị cập nhật với các cửa hậu độc hại. Đến thứ Hai, WordPress đã cập nhật bài đăng của mình để xác nhận rằng các bản phát hành plugin không còn bị tạm dừng nữa.
Thông báo của WordPress về việc đặt lại mật khẩu bắt buộc:
“Chúng tôi đã bắt đầu đặt lại mật khẩu bắt buộc cho tất cả các tác giả plugin, cũng như các người dùng khác có thông tin bị các nhà nghiên cứu bảo mật tìm thấy trong các vụ vi phạm dữ liệu. Điều này sẽ ảnh hưởng đến khả năng tương tác với WordPress.org hoặc thực hiện cam kết của một số người dùng cho đến khi mật khẩu của họ được đặt lại.
Bạn sẽ nhận được email từ Thư mục Plugin khi đến lúc bạn đặt lại mật khẩu. Không cần thực hiện hành động nào trước khi bạn được thông báo.”
Một cuộc thảo luận trong phần bình luận giữa một thành viên cộng đồng WordPress và tác giả của thông báo đã tiết lộ rằng WordPress không liên hệ trực tiếp với các tác giả plugin được xác định là sử dụng mật khẩu “tái sử dụng” vì có bằng chứng cho thấy danh sách người dùng được tìm thấy trong danh sách vi phạm dữ liệu thực sự an toàn (dương tính giả). WordPress cũng phát hiện rằng một số tài khoản được cho là an toàn thực tế đã bị xâm nhập (âm tính giả). Đó là lý do dẫn đến hành động hiện tại là buộc đặt lại mật khẩu.
Francisco Torres của WordPress đã trả lời:
“Bạn đúng khi nói rằng việc liên hệ trực tiếp với những cá nhân này để đề cập rằng dữ liệu của họ đã được tìm thấy trong các vụ vi phạm dữ liệu sẽ khiến họ nhạy cảm hơn, nhưng tiếc là như tôi đã đề cập, điều đó có thể không chính xác với một số người dùng và sẽ có những người khác bị bỏ lỡ. Những gì chúng tôi đã làm từ khi bắt đầu vấn đề này là thông báo cá nhân cho những người dùng mà chúng tôi chắc chắn đã bị xâm nhập.”
