WordPress日前發出公告指出,有3個頗受歡迎的WordPress外掛程式隱藏著後門,分別是AddThis、WPtouch、及W3 Total Cache,初步判定非外掛程式作者所為,而是受到駭客入侵所致。
部落客Adam Harley指出,攻擊者取得外掛程式使用者在WordPress的帳號,並強制下載更新,而這個更新程式卻內含惡意程式,可以隨時隨地執行PHP碼。下載這隻被入侵更新程式的使用者,有可能使得他們的網站也跟著被入侵,Adam認為,改變密碼及WordPress設定檔(wp-config.php)中unique keys的亂數,應該就能避免攻擊者利用竊取來的舊密碼登入使用者帳戶。
雖然,WordPress還在調查整起事件的原委,但為了降低風險,已經決定強制使用者重設密碼,並提出以下兩點建議:第一、不要使用同樣的密碼在兩個不同網路服務上;第二、已經安裝上述3隻外掛程式的使用者,應該再次確認更新資訊,及外掛程式是否已升級到最新版本。