Неизвестные злоумышленники загрузили скомпрометированные Wordpress-плагины в репозитарий

[flacon]

Как же необдуманно слепо доверять чему-либо загружаемому из этих ваших интернетов.

[negodnik]

Вспомнились смс-блокировщики с титьками.

[eZyatev]

Как говорил профессор Шевелёв, «Ощущение полной безопасности наиболее опасно».

[YAAP]

А взламывать через дыры в ОС, которой доверяешь не подло??
На войне как на войне, если решились на пакость — будут юзать любые доступные методы.

[herfleisch]

Прошу прощения за, вероятно, глупый вопрос, но к пользователям WordPress, которые установили движок к себе на хостинг, а не пользуются блогосервисом WordPress, это относится?

[marks]

Вопрос отнюдь не глупый. Но нет, не относится. Возможно, плагины обновляться какое-то время не будут, а так все окей.

[germn]

Если плагин обновили/установили до отключения репозитория?

[FrienD]

Лично я отключил, после чего удалил плагин.
С установкой старой версии повременю, т.к. не известно точно какая именно версия была заражена.

[FrienD]

Причем здесь бэкап? Бэкап есть, но откуда мне знать, что в бэкапе версия плагина не заражена? В статье не сказано ни слова о версии плагина, которая была заражена. Именно поэтому пока лучше перебздеть.

[Ashina]

А я то думаю что за переполох. Сейчас занимаемся переводом Wordpress и попасть в аккаунт не могли. Вот где собака зарыта =)

[vitroot]

не зловредным, а вредоносным.
WP не первые и, к сожалению, не последние…

[zhmenia]

Каждая подобного рода «атака» способствует дальнейшему повышению уровня безопасности. Я не к тому, что ломать — это хорошо, а к тому, что в каждой проблеме можно найти плюсы. Главное, чтобы новых дырок не наделали =)

[zhmenia]

В конкретном случае изменения скорее будут проводиться в репозитарии, но насчет прожорливости спорить не стану — вообще по-моему минус многих движков под GPL. Думаю, они тоже в курсе =)

[FrienD]

Буквально час назад обновил на своем ресурсе плагин AddThis. После этой новости на всякий случай удалил его полностью, после чего сменил пароль.

[FrienD]

В описании исправлений было сказано, что новая версия плагина на 100% совместима с моей версией ВП. На это и повелся.

А вообще, сегодня всерьез задумался по поводу использования сторонних плагинов.

[FrienD]

Именно. Предыдущая версия плагина была написана для предыдущей версии моего ВП, но работала и на новой.

[GANGTA]

Интересно, чего хотели добиться этим

[germn]

Выполнения стороннего кода на сайтах жертв.

[ks_ks]

del

[Pirro]

Это только если на поверхность выплыло в первый раз. Мне ещё года четыре назад довелось проводить аудит плагинов и темплетов, в которых дыр более чем достаточно. Некоторые были явно внедрены со злым умыслом, а некоторые просто дырами, позволяющими очень многое. А уж в «нулёных» архивах Premium-темплетов эта дрянь была чуть ли не в половине.