Месяц в WordPress: июнь 2024

Хакеры использовали утечку паролей для получения доступа к аккаунтам авторов плагинов на wp.org и выпускали версии с вредоносным кодом. Вышли версии WordPress 6.5.5 и 6.6 RC 1. Репозиторий wp.org увеличил отображаемый лимит максимального количества установок до 10 миллионов. ACF запустил опрос 2024 года.

Оригинал доступен на английском: Month in WordPress: June 2024 by WPLake.

1. Атака на аккаунты авторов плагинов в WordPress.org

Команда WP: Мы выявили, что некоторые авторы плагинов использовали пароли, которые были скомпрометированы в результате утечек данных в других источниках. Скомпрометированные аккаунты не были результатом взлома на WordPress.org. Вместо этого, злоумышленники использовали повторно использованные пароли для добавления вредоносного кода в несколько плагинов в каталоге плагинов WordPress.org.

Это означает, что некоторые авторы плагинов либо использовали слабые пароли, которые уже были в базах, либо те же пароли, что и для других своих аккаунтов, и эти пароли стали известны в результате утечки. Хакеры использовали подобные пароли для взлома аккаунтов авторов плагинов на wp.org.

Разбор атаки:

• 24 июня: WordPress команда по обзору плагинов замечает угрозу
  Команда по обзору плагинов WordPress.org была уведомлена о том, что злоумышленник взял под контроль один из плагинов. Команда отключила его и выпустила «чистую» обновленную версию.

• 24 июня: Wordfence Threat Intelligence обнаруживает больше заражённых плагинов
  Команда Wordfence Threat Intelligence провела дополнительные исследования и обнаружила еще четыре плагина, зараженные тем же вредоносным кодом. Команда Wordfence уведомила об этом WP команду по обзору плагинов.
  Во всех случаях внедренное вредоносное ПО пытается создать новую учетную запись администратора и затем отправляет эти данные на сервер, контролируемый злоумышленниками. Кроме того, злоумышленники внедряли вредоносный JavaScript в нижний колонтитул веб-сайтов, добавляя SEO-спам на сайт.

• 28 июня: Эскалация атаки
  Еще четыре плагина были заражены, в то время как три вредоносных обновления были остановлены командой, включая плагин Pods с более чем 100 000 активных установок.

• 29 июня: Команда WordPress принимает серьезные профилактические меры
  29 июня авторы плагинов получили уведомление от WP команды обзора плагинов с информацией о сбросе пароля для всех аккаунтов принадлежащих авторам плагинов. Ниже приведено полное сообщение.

Привет, {username},

В продолжение отчетов от Эндрю Уайлдера (NerdPress) и Хлои Чемберленд (WordFence), которые выявили ограниченное количество скомпрометированных плагинов, команда по обзору плагинов хочет предоставить больше деталей о случае.

Мы выявили, что некоторые авторы плагинов использовали пароли, которые были скомпрометированы в результате утечек данных в других местах. Скомпрометированные аккаунты не были результатом взлома на WordPress.org. Вместо этого, злоумышленники использовали повторно использованные пароли для добавления вредоносного кода в несколько плагинов в каталоге плагинов WordPress.org.

Во-первых, из соображений предосторожности, выпуск дополнительных плагинов был приостановлен, и все новые коммиты плагинов временно требуют одобрения команды. Таким образом, мы имеем возможность убедиться, что злоумышленники не могут добавить вредоносный код в другие плагины.

Мы начали принудительный сброс паролей для всех авторов плагинов и некоторых других пользователей, чья информация была найдена исследователями безопасности в утечках данных. Это повлияет на возможность некоторых пользователей взаимодействовать с WordPress.org или выполнять коммиты до тех пор, пока их пароль не будет сброшен.

Это действие гарантирует невозможность дальнейших инфекций, и с момента принудительного сброса не было новых сообщений о заражениях. Если вы являетесь автором любого плагина на WP.org, проверьте свою почту и следуйте инструкциям по сбросу пароля. Кроме того, рекомендуется включить двухфакторную аутентификацию.

2. Выпущен WordPress 6.5.5 и 6.6 RC 1

WordPress 6.5.5, security release, был выпущен 24 июня. Он содержит ряд исправлений, и всем владельцам рекомендуется обновить свои WordPress установки.

Между тем, доступна первая версия кандидата на релиз (RC1) для WordPress 6.6, которая позволяет разработчикам и энтузиастам протестировать предстоящие изменения в WordPress 6.6, выпуск которого запланирован на 16 июля.

3. Директория WordPress плагинов увеличила лимит «Активных установок» до 10 миллионов

Директория плагинов WordPress увеличила лимит «Активных установок» с 5 миллионов до 10, и несколько плагинов уже отображают данную отметку.

Мы обновили нашу статью о самых популярных WordPress плагинах по количеству активных установок, чтобы вы могли узнать, какие именно плагины преодолели этот рубеж.

4. ACF запустил ежегодный опрос за 2024 год

Один из самых популярных плагинов для метаполей, Advanced Custom Fields, запустил свой второй общедоступный ежегодный опрос. Опрос состоит из около 30 вопросов, большинство из которых имеют множественный выбор, и включает вопросы о том:

• Как вы используете поля и функции ACF

• Ваш опыт создания сайтов на WordPress

• Какие улучшения или дополнения вы хотели бы видеть в ACF

Вы можете принять участие в опросе, который открыт до 31 июля.

Публикуя (анонимные) результаты общедоступно, ACF делает этот опрос полезным не только для себя, но и для всего сообщества WordPress.

Опрос содержит не только вопросы, связанные с ACF, но и общие вопросы о WordPress, помогая понять предпочтения разработчиков. Вы можете найти результаты ежегодного опроса ACF за 2023 год здесь.

5. Новое в веб-платформе в июне

В этом месяце новые функции появились в стабильных и бета-версиях веб-браузеров в июне 2024 года, включая:

• Методы JavaScript Set:
  intersection, union, difference, symmetricDifference, isSubsetOf, isSupersetOf, isDisjointFrom.

• Async Clipboard API

• Интерполяция цвета в CSS-градиентах

• Переходы между документами

6. Месяц в WordPress в цифрах

В текущем разделе мы используем API плагинов и тем WordPress.org, чтобы перечислить новобранцев WP.org репозитория, появившихся в этом месяце. Это отличная возможность открыть для себя новые инструменты и улучшить свой рабочий процесс:

168 новых плагинов и 111 тем

(Прим. переводчика: список пропущен из-за длинны, см оригинал с интерактивным элементом).

Спасибо за внимание! Подписывайтесь на нашу ежемесячную рассылку, чтобы быть в курсе последних WordPress новостей.