由于一些热门插件被植入后门程序,WordPress.org在采取适当措施后,重新设置了所有密码。
WordPress.org刚刚在其博客上发布了这样一则信息:
“今日早些时候,WordPress团队发现一些可疑行为,一些热门插件(AddThis、WPtouch和W3 Total Cache)中包含了经过巧妙伪装的后门。我们已经查明这种行为不是插件作者所为,我们撤下了这些存在后门的插件,对插件进行了更新,我们在查找其他类似的恶意插件时暂时关闭了插件库的访问权限。”
据WordPress.org创始人麦特穆兰维戈(Matt Mullenweg)称,由于上述热门插件出现了这些可疑的后门,WordPress.org已经决定重新设置WordPress.org、bbPress.org和BuddyPress.org的所有密码。
WordPress.org的用户在登录论坛、使用trac或调用某插件或主题时将接到如下信息:“2011年6月21日,我们重新设置了所有的密码,如果你还没有新密码,请申请一个新密码。”穆兰维戈称,更改密码将对WordPress.org的200万用户造成影响。
穆兰维戈称,WordPress.org本身并未遭到黑客攻击,但某些插件作者的帐户被黑客窃取了,黑客可能会对任何下载了恶意插件的用户造成影响。