9 WordPress Plugin Disasarkan dalam Kempen Spam 4.5-Tahun Teratur

September 21, 2017

Entri ini telah diposting di WordPress Security pada 20 September 2017 oleh Mark Maunder [Balas]

Pada hari Selasa minggu lepas kami menerbitkan satu jawatan yang menggambarkan bagaimana seseorang telah mengeluarkan kemas kini kepada widget Widget Paparan yang mengandungi pintu belakang yang membenarkan mereka menerbitkan kandungan ke mana-mana laman web menggunakan plugin. Kami juga menerangkan bagaimana mereka mengeksploitasi pintu belakang itu untuk menerbitkan spam.

Kami kemudian menulis sekeping tindak lanjut yang diterbitkan pada hari Rabu mengenal pasti orang yang mengubahsuai Widget Paparan sebagai Mason Soiza.

Dalam catatan hari ini, kami menerbitkan penyelidikan yang menunjukkan usaha yang diselaraskan oleh spammer yang sama yang mensasarkan plugin WordPress dalam tempoh 4.5 tahun. Dalam sesetengah kes, pemilik tapak memilih untuk perjanjian yang samar-samar yang tidak menjelaskan bahawa laman web mereka akan melayani spam; dalam kes lain, plugin hanya "backdoored" untuk membenarkan pengeposan tanpa kebenaran pemilik tapak.

Kandungan yang dihidangkan dari rangkaian iklan termasuk iklan untuk pinjaman habis bulan dan perkhidmatan pengiring di UK. Aktiviti ini bermula pada 2013 dan berakhir pada bulan ini. Semua sembilan peminat yang dibincangkan hari ini dikaitkan dengan pelaku jahat yang sama, sama ada melalui jejak kewangan atau melalui domain iklan yang digunakan yang berkongsi alamat IP.

Plugin Yang Ditargetkan Dan Status Semasa Mereka

Kami kini mempunyai bukti bahawa, sebagai tambahan kepada plugin Widget Paparan, lapan plugin lain telah dipengaruhi oleh spam pada masa lalu dan semua dikaitkan dalam beberapa cara. Insiden ini berkisar dari Mei 2013 hingga September 2017.

Dalam empat kes, kami juga dapat mengungkap transaksi kewangan yang dikaitkan dengan Mason Soiza, sama ada secara langsung atau tidak langsung. Dalam kes lain, kami tidak mempunyai urus niaga, tetapi kami berkongsi data yang kami miliki yang membantu menubuhkan atribusi.

Ia adalah penting untuk diperhatikan bahawa semua plugin yang disenaraikan di sini tidak lagi mempunyai keupayaan untuk menyuntik spam ke laman web. Mereka sama ada selamat, atau dalam dua kes telah dikeluarkan dari repositori plugin WordPress.

Berikut adalah senarai plugin yang kita bincangkan hari ini dan status terkini mereka. Apabila kami menyenaraikan plugin sebagai "selamat," itu bermakna plugin tidak menyertakan sebarang kod spam yang kami ketahui.

  • 404 hingga 301: Selamat
  • Paparan Widget Plugin: Selamat, tetapi tidak lagi dikekalkan. Gunakan Modul Kebolehlihatan Widget Jetpack sebagai gantinya.
  • WP Slimstat: Aman
  • Mod Penyenggaraan WP: Selamat
  • Imej Menu: Selamat
  • NewStatPress: Selamat
  • Plugin Kalkulator Kewangan: Selamat. Tidak pernah memasukkan kod berniat jahat, tetapi Soiza mempunyai akses untuk beberapa waktu tahun ini.
  • Imej Weptile: Dihapus dari repositori
  • No Comment: Dikeluarkan dari repositori

Beberapa penulis plugin bercakap dengan saya secara tanpa nama untuk siaran ini, tetapi kebanyakannya mencatatkan rekod. Terima kasih kepada semua penulis yang membantu kami menyusun data ini, kerana mereka telah melakukan komuniti WordPress sebuah perkhidmatan dalam membantu kami memahami kesan rangkaian spam ini dan yang mereka milik.

Terima kasih kepada pengarang plugin berikut:

  • Widget paparan pengarang asal Steph Wells. Kami bercakap melalui suara Skype dan IM. Dia membuka pintu gerbang.
  • 404 hingga 301 pengarang plugin Joel James. Kami bercakap melalui Skype IM.
  • Pengarang WP Slimstat yang dilahirkan oleh alias Jason Crouse. Kami bercakap di telefon.
  • Pemaju Mod Penyenggaraan WP George dan pemilik semasa Andrian. Kami bercakap melalui e-mel.
  • Menu pemaju pemaju imej Alex. Kami bercakap melalui e-mel.
  • Kalkulator Kewangan penulis plugin Ciprian Popescu. Kami bercakap melalui LinkedIn.

Serangan Rantaian Pembekalan dan Mengelakkan Pasangan Bad

Apa yang kita nyatakan di sini hari ini dan dalam jawatan kami yang terdahulu dikenali sebagai serangan rantaian bekalan. Beberapa contoh serangan rantaian bekalan adalah:

  • Seorang penggodam memecah masuk ke dalam sebuah syarikat perisian dan menjejaskan kodnya dengan malware, yang kemudiannya diagihkan melalui "rantaian bekalan" kepada pelanggan syarikat itu.
  • Akaun pembangun dikompromi dan penggodam menggunakan akaun untuk melepaskan kod jahat kepada pelanggan.

Saya telah berjaya mengesahkan bahawa dalam kebanyakan kes ini seorang pelakon yang berniat jahat meyakinkan pemaju atau syarikat untuk menambahkan kod mereka, biasanya melalui susunan kewangan, kepada plugin WordPress. Pelakon jahat itu menggunakan pintu masuk itu untuk menyuntik spam ke laman web pelanggan.

Sebagai pemaju, kami mempunyai sasaran gergasi yang dicat di punggung kami. Kami sentiasa melepaskan kod kepada pelanggan, dan jika seseorang boleh menyuntik kod jahat mereka ke dalam perisian kami, mereka boleh menjangkiti ribuan atau bahkan berjuta-juta pelanggan sekaligus, bukannya sekadar beberapa sekaligus. Adalah sangat penting bagi kita untuk menjaga kelayakan login dan kod kami dan penting bagi kami untuk memilih rakan kongsi kami dengan bijak.

Kita boleh berhujah bahawa penulis plugin seharusnya lebih berhati-hati tentang siapa yang mereka bekerjasama. Saya fikir ini 20/20 kerana kebanyakan perkongsian memerlukan kepercayaan pada satu ketika dalam hubungan. Jika anda meletakkan iklan Google di tapak web anda, anda percaya Google tidak akan memaparkan kandungan yang menyinggung perasaan. Jika rangkaian iklan lain membayar anda untuk menyertakan kod mereka yang memaparkan iklan mereka, anda mempercayai mereka untuk tidak memasukkan spam atau kandungan berniat jahat. Dalam kes ini, amanah telah dipecah, dan dalam sesetengah kes pelanggan membayar harga.

Harapan saya dalam menerbitkan kisah ini, dan melalui kolaborasi penulis plugin ini yang telah datang ke depan, bercakap dan berkongsi kisah mereka, adalah kita sebagai sebuah komuniti akan belajar bagaimana untuk menghindari perkongsian yang buruk dan bagaimana membentuk kerjasama yang buat kerja.

Selebihnya posting ini masuk ke dalam terperinci tentang setiap plugin yang kami dianalisis, bagaimana ia dikaitkan dengan spammer yang kami telah menjejaki dan versi mana yang terjejas sepanjang tempoh masa

Plugin Widget Paparan: Kemas Kini

Kami menulis tentang Widget Papar secara terperinci minggu lalu jadi saya akan meringkaskan status di sini dan memberikan kemas kini dari pasukan plugin WP

Saya bercakap dengan penulis asal plugin Stephanie Wells melalui suara Skype dan IM. Dia menjual plugin itu ke Soiza pada 19 Mei 2017, dan kami mengesahkan transaksi yang berasal dari pp@linkrocket.net.

Pada 30 Jun, 2017, sebuah pintu belakang yang membolehkan kemas kini kandungan yang tidak disahkan jauh telah ditambah kepada pemalam dan kekal di sana sehingga plugin telah dikeluarkan dari repositori pada 8 September 2017. Versi yang terjejas ialah versi 2.6.1 hingga versi 2.6 .3.

Domain yang digunakan untuk berkhidmat spam adalah geoip2.io dan stopspam.io . Pasukan plugin WordPress.org telah mengeluarkan versi sejarah yang mengandungi kod jahat dari repositori WP oleh pasukan plugin.

Pasukan plugin WordPress.org telah mengeluarkan kod yang menyinggung dari versi terbaru widget Widget Paparan dan menambah bilangan versi supaya laman web boleh dikemas kini dengan kod yang bersih. Saya bercakap dengan Otto, salah seorang penyelenggara repositori plugin, yang mengatakan ini pada WordPress Slack:

" Versi 2.7 adalah sama dengan versi 2.05, kod. Ini dilakukan untuk menghapuskan kod yang menyinggung dari plugin dan membantu menghilangkannya dari laman web yang telah memperbaharuinya ke siri 2.6. Plugin kini ditutup dan tidak akan menerima kemas kini. Kami mengesyorkan semua pengguna mencari plugin alternatif untuk keperluan mereka. Memandangkan fungsi yang dimaksudkan oleh plugin itu, saya cadangkan menggunakan pilihan Widget Visibility di Jetpack sebaliknya. "

Anda boleh mengetahui lebih lanjut mengenai modul Visibilitas Widget Jetpack di halaman ini .

404 hingga 301 Plugin

Kami menerima data bahawa Soiza juga terlibat dalam 404 hingga 301 dan jadi kami menjangkau penulis.

Kami sebelum ini menulis tentang 404 hingga 301 mengedarkan spam pada bulan Ogos tahun lepas. Kami juga melakukan jentera susulan dengan lebih banyak [ butiran teknikal dan untuk menentang kritikan yang kami terima.

Saya bercakap dengan Joel James, penulis 404 hingga 301 untuk jawatan ini. Dia cukup baik untuk berkongsi butiran transaksi dengan saya. Berdasarkan urus niaga PayPal bertarikh 9 Mei 2016 dari pp@linkrocket.net menggunakan nama Soiza, Soiza juga nampaknya menjadi pelaku dalam hal ini

404 hingga 301 termasuk kod Soiza untuk mengedarkan spam ke laman web dari 1 Jun 2016 hingga 12 Julai 2016. Versi yang terjejas ialah 2.2.0 hingga 2.2.8.

Domain yang digunakan untuk mengambil spam dan menyuntikkannya ke dalam plugin adalah wpcdn.io . Anda boleh cari kod sini jika anda mencari domain.

Plugin yang menyuntikkan kandungan spam ke laman web, termasuk domain untuk perkhidmatan pengiring yang berpangkalan di UK yang kami [[diverifikasi] milik Soiza di post follow post .

Plugin itu meminta pengguna untuk bersetuju dengan istilah sebelum menyuntikkan kandungan mereka dengan spam, tetapi syaratnya panjang dan klausa 'spam' muncul tepat pada akhirnya.

Joel James kini mengawal kod ke plugin ini dan telah mengesahkan bahawa plugin kini bersih. Sebagai peringatan, ini berlaku lebih setahun lalu. Pada ketika ini saya tidak teragak-agak untuk mengesyorkan bahawa anda menggunakan plugin 404 hingga 301 .

WP Plugin Slimstat

Kami juga menerima data bahawa Soiza terlibat dengan WP Slimstat. Saya bercakap dengan pengarang WP Slimstat di telefon. Dia pergi dengan alias Jason Crouse, dan akan memilih untuk tetap tanpa nama. Dia cukup baik untuk menyediakan semua data yang kami minta.

Dia menerima transaksi PayPal bertarikh 22 November 2015 dari email jj@linkrocket.net dan nama "Garri Kiekbusch." E-mel menggunakan domain yang sama dengan dua e-mel lain yang telah kami tentukan tergolong dalam Soiza, tetapi transaksi menggunakan nama yang berbeza. E-mel ini juga dipaparkan di halaman rumah linkrocket.net yang diarkibkan bersama dengan dua yang lain. Nama itu mungkin menjadi rakan niaga atau alias.

Mulai 22 Oktober 2013 hingga 10 Ogos 2016 (2 tahun 10 bulan), WP Slimstat mempunyai kod di dalamnya yang sangat serupa dengan kod spam Soiza. Tempoh itu termasuk versi 3.4 hingga versi 4.3.7.

Domain yang digunakan untuk Slimstat ialah wordpress.cloudapp.net, kemudian wpcdn.io dan kemudian api.wp-stats.io Anda boleh mencari contoh kod pada halaman ini untuk 4.3.7 .

Penting untuk diperhatikan bahawa wordpress.cloudapp.net dan wpcdn.io berkongsi alamat IP yang sama pada masa penulisan. api.wp-stats.io sejarah juga berkongsi alamat IP itu. Ini menghubungkan ketiga-tiga domain dan kita akan merujuk kepada ini kemudian dalam jawatan.

Versi awal Slimstat yang memasukkan kod Soiza termasuk kotak pilihan yang harus anda pilih, tetapi kotak centang tidak menyebut spam atau iklan. Versi seterusnya menyebut bahawa iklan akan dipaparkan.

Saya ingin mengulangi bahawa saya telah bercakap dengan pengarang plugin ini pada panggilan telefon yang agak panjang dan dia berkongsi identiti sebenar dengan saya. Dia lebih suka untuk kekal tanpa nama, tetapi mengawal plugin sekali lagi dan telah selama setahun pada ketika ini. WP Slimstat tidak lagi mengandungi sebarang kod spam, dan tidak lama lagi.

Plugin Mod Penyelenggaraan WP

Setelah kami mengenal pasti beberapa plugin yang dikaitkan dengan Soiza, kami mula mencari repository untuk mencari plugin menggunakan domain yang sama. Kami terkejut mengetahui bahawa Mod Penyelenggaraan WP terlibat. Ia adalah plugin yang sangat popular dengan sekitar 500,000 pemasangan aktif. Dari 20 Jun 2013 hingga 1 September 2014, Mod Penyenggaraan WP mempunyai kod yang membenarkan kandungan disiarkan dari jauh ke laman web tanpa kebenaran.

Versi yang terjejas ialah 1.8.9 sehingga kod dikeluarkan dari versi 2.0.0. Pada ketika itu, pemilikan plugin berubah tangan kepada pemilik baru yang muncul untuk mengeluarkan kod.

Saya bercakap dengan pemilik baru melalui e-mel dan mereka tidak mempunyai sebarang maklumat yang boleh membantu kami memautkan ini kepada plugin lain yang terjejas. Saya juga menjangkau pemilik sebelumnya dan berjaya berhubung dengannya melalui e-mel tetapi tidak dapat memperoleh apa-apa data yang berguna.

Satu pautan yang kita ada ialah domain yang Mod Penyenggaraan WP memuatkan iklan dari. Ia adalah wordpress.cloudapp.net, salah satu domain yang digunakan oleh WP Slimstat yang kami sahkan telah dibayar oleh jj@linkrocket.net. Oleh itu, ini sekurang-kurangnya, dikaitkan dengan pengiklan yang sama yang menggunakan Slimstat.

Perbezaan dengan plugin ini adalah bahawa tidak ada opt-in yang diperlukan oleh pengguna. Pengiklan hanya boleh menyuntik kandungan ke dalam laman web mengikut kehendaknya. Anda boleh mencari contoh kod dalam versi 1.8.11 pada halaman ini .

Laman ini di laman web syarikat hosting menunjukkan pengguna pada 2013 yang bertanya mengapa Mod Penyenggaraan WP lambat dalam pemuatan. Ternyata ia menghubungi wordpress.cloudapp.net untuk memuatkan kandungan di latar belakang.

Plugin NewStatPress

Kami mendapati plugin ini terlibat apabila mencari domain yang dikaitkan dengan plugin di atas. Kami mendapati jawatan ini dari 2013 di mana seorang pengguna melaporkan plugin melambatkan ketika memuatkan sesuatu dari wordpress.cloudapp.net.

NewStatPress akan secara rawak memilih cangkuk WordPress seperti get_header, get_sidebar, wp_head atau wp_footer dan mencetak bungkusan JSON yang diterjemahkan yang diambil dari domain wordpress.cloudapp.net .

Plugin ini, Mod Penyenggaraan WP dan WP Slimstat semua menggunakan domain yang sama, yang dikaitkan dengan jj@linkrocket.net.

Plugin ini berlari kod ini dari 5 Mei 2013 sehingga 29 Jun 2013. Versi yang terjejas ialah 0.6.2 hingga versi 0.6.7. Anda dapat melihat contoh kod versi 0.6.2 seperti pada halaman ini .

Saya menyiarkan permintaan kenalan di forum sokongan plugin ini tetapi tidak mendapat respons pada masa untuk diterbitkan.

Pemalam Imej Menu

Dalam penyelidikan kami, kami mendapati bahawa Menu Image juga memuatkan iklan dan menyuntikkannya ke dalam kandungan tapak. Siaran ini di mana pengguna membincangkan spam yang disuntik ke dalam plugin, adalah yang mula-mula menarik perhatian kami.

Plugin Imej Menu mempunyai iklan opt-in yang dipaparkan jika pengguna bersetuju untuk lesen lama yang samar-samar dalam menerangkan apa yang akan berlaku ke laman web anda. Saya bercakap dengan penulis menerusi e-mel dan dia sangat membantu dalam membantu kami mengenal pasti sama ada iklan ini dikaitkan dengan plugin lain.

Nampaknya penulis telah dibayar oleh seseorang dengan nama yang berbeza, terikat kepada syarikat yang berbeza. Domain yang digunakan untuk memuatkan kandungan adalah apistats.net .

Terdapat satu pautan tentatif: apistats.net pada satu ketika berkongsi alamat IP dengan domain api.wp-stats.io yang merupakan domain yang digunakan oleh WP Slimstat yang kita kaitkan dengan jj @ linkrocket .net (domain Soiza lagi). Domain api.wp-stats.io juga berkongsi IP pada satu titik dengan wordpress.cloudapp.net dan wpcdn.io, yang seperti yang kita tahu adalah domain lain yang digunakan untuk menyampaikan kandungan kepada plugin yang terjejas ini.

Imej Menu mengandungi kod ini dari 7 Julai 2016 hingga 20 November 2016 – sedikit kurang dari setahun yang lalu. Versi yang terjejas ialah versi 2.6.4 hingga versi 2.7.0.

Anda boleh mencari diff yang menunjukkan apabila kod tersebut ditambahkan, dalam fail notepad.php, pada halaman ini pada github .

Plugin Imej Weptile

Plugin ini menarik perhatian kami apabila kami melakukan carian Google untuk fungsi yang digunakan oleh plugin lain untuk menyuntik kandungan. Plugin ini juga menggunakan fail notice.php dengan nama fungsi yang sama seperti plugin Imej Menu. Ia juga memuat kandungan dari domain apistats.net.

Weptile menyertakan kod untuk memuat kandungan pada jarak jauh pada 2 Julai 2016. Tampaknya telah dikeluarkan dari repositori pada hari yang sama

Menurut artikel ini plugin kemudian menukar pemilikan. Tarikh jawatan itu diterbitkan ialah 25 September 2015, kira-kira 1 tahun sebelum kod suntikan muncul.

Domain yang digunakan untuk menyuntik kandungan adalah apistats.net yang, seperti yang kita katakan di atas, mempunyai pautan tentatif untuk Soiza dan linkrocket.net.

Saya tidak dapat menghubungi mana-mana penulis yang berkaitan dengan plugin ini.

No Comments Plugin

Plugin ini menarik perhatian kami kerana ia menggunakan domain wpl.io untuk menyuntikkan kandungan ke dalam laman web. Domain itu dihoskan pada alamat IP yang sama seperti wpcdn.io yang kami sambungkan langsung ke Soiza.

Plugin itu mengandungi kod yang menyuntik kandungan dari 25 April 2014 sehingga ia dikeluarkan dari repositori pada Oktober 2016. Daripada versi 1.1.5, plugin tersebut mengandungi kod yang boleh menyampaikan spam.

Kod dalam plugin ini diperiksa untuk melihat jika pengguna telah dilog masuk Jika pengguna tidak melog masuk, plugin itu akan mengambil gumpalan kandungan dari domain wpl.io, menyahkod dan menyuntiknya. Plugin itu akan mencetak data meta di tajuk tapak yang terjejas dan menggantikan kata kunci dalam kandungan dengan pautan. Pautan tersembunyi dari pandangan menggunakan CSS. Tidak ada pilihan untuk melumpuhkan ciri ini.

Saya tidak dapat menghubungi pengarang plugin ini kerana telah dikeluarkan dari repositori WordPress.

Plugin Kalkulator Kewangan

Plugin ini mendapat sebutan yang mulia. Ia tidak pernah mengandungi sebarang kod spam. Walau bagaimanapun, pengarang, Ciprian Popescu, cukup baik untuk berbual dengan saya. Ternyata Soiza (pp@linkrocket.net) membayar $ 600 untuk mendapatkan akses ke plugin ini tetapi tidak pernah menggunakan aksesnya untuk menambahkan kod apa pun.

Tarikh urusniaga itu ialah 24 April 2017. Setelah kami bercakap, Ciprian menghormati Soiza tidak lagi mempunyai akses, dan meyakinkan kami bahawa plugin itu selamat.

Usaha Terkoordinasi untuk Spam Melalui WordPress

Apa yang disedari kajian ini adalah usaha yang diselaraskan oleh pelaku jahat untuk menggunakan plugin WordPress untuk berkhidmat spam yang bermula pada tahun 2013 dan berlangsung sehingga bulan ini.

Dalam sesetengah kes, pemilik tapak terpaksa memilih, tetapi mesej ikut serta adalah samar-samar, mengelirukan atau dibongkar. Dalam kes lain, laman WordPress akan menyampaikan kandungan iklan tanpa pemilik tapak yang menyedari.

Kandungan dari pelayan iklan ini termasuk iklan untuk pinjaman gaji dan iklan untuk perkhidmatan pengiring yang berpangkalan di UK.

Bagaimana Pengarang Plugin Dapat Menghindari Mangsa Jatuh

WordPress kini merupakan sistem pengurusan kandungan yang paling popular di dunia dengan margin yang ketara. Adalah penting bahawa kita, sebagai penulis plugin, menyedari bahawa kita adalah sasaran menarik untuk orang jahat. Jika mereka boleh menjangkiti hanya beberapa plugin dengan kod jahat, boleh bernilai berjuta-juta.

Tetap selamat dan pastikan kod dan pelanggan anda selamat. Jika anda mempertimbangkan menjual plugin atau perkongsian anda, pastikan anda memahami siapa yang anda jual dan sejarahnya. Juga mendapatkan pemahaman yang jelas tentang apa yang mereka maksudkan. Dapatkan rujukan. Anda mungkin juga mempertimbangkan untuk menghubungi masyarakat, termasuk Wordfence, untuk mengetahui sama ada sesiapa mempunyai sebarang data pada pembeli anda.

Saya juga akan mengesyorkan agar penulis plugin tidak pernah memberikan 'komit' akses kepada rakan kongsi. Hantarkan mereka menghantar kepada anda suatu tampalan atau permintaan ciri dan semak semula dan komit sendiri.

Pastikan pembeli atau rakan anda memahami garis panduan direktori plugin .

Bagaimana Pemilik Laman WordPress Dapat Menghindari Spam dalam Plugin

Sebagai pemilik laman web WordPress, penting untuk menjejaki plugin mana yang dikeluarkan dari repositori WordPress. Dalam beberapa kes, plugin yang terjejas dalam jawatan ini telah dibuang beberapa kali dari repositori WordPress. Jika anda menggunakan Wordfence, ia akan memberitahu anda bahawa plugin yang anda gunakan telah dialih keluar dari repositori.

Apabila anda melihat plugin dibuang, pergi ke forum sokongan dan minta pemaju apa yang berlaku. Jika mereka tidak jelas dan telus dalam jawapan mereka, anda mungkin mempertimbangkan untuk mengalih dan menggunakan pemalam yang berbeza.

Mengikuti perkembangan keselamatan dengan melanggan senarai mel kami. Apabila kami mendapati bahawa plugin telah spam, kami segera memberitahu komuniti dan mengambil tindakan.

Jika plugin memasukkan "istilah" yang perlu anda persetujui, membaca keseluruhan dokumen T & C yang disertakan, terutamanya akhir . Dalam beberapa kes plugin yang terjejas mempunyai kotak pilihan 'opt-in' dengan istilah yang mengatakan iklan akan disuntik ke dalam laman web anda. Masalahnya adalah bahawa bahasa yang menggambarkan 'iklan' adalah pada akhir dokumen yang sangat panjang.

Jika plugin mempunyai kotak pilihan 'opt-in' untuk sebarang jenis perkongsian data, pastikan ia menerangkan dengan jelas apa dikongsi atau diambil dari pelayan jauh

Nota Akhir

Sebagai nota akhir, saya ingin mencadangkan bahawa penyelenggara WordPress.org membolehkan pengesahan dua faktor dan menguatkuasakan dasar kata laluan yang kuat pada repositori plugin. Saya ingin mencadangkan TOTP yang mengintegrasikan dengan pengurus kata laluan seperti 1Password.

Serangan rantaian bekalan hanya akan bertambah buruk. Ini mungkin akan menjadi projek yang besar dan rumit kerana ia melibatkan dua faktor dalam repositori kod dan sistem lain. Jadi ini akan mengambil masa, kerana ia berisiko melanggar perkara.

Mark Maunder – Pengasas Wordfence / CEO.

Kredit: Terima kasih kepada semua penulis plugin yang kami temubual dan yang berkongsi data dengan kami yang membantu kami menyusun sambungan yang diterangkan dalam jawatan ini. Mereka disenaraikan di bahagian atas jawatan ini. Terima kasih kepada Brad Haas yang menyusun data yang kami kumpulkan ke dalam graf penyiasatan Maltego (digambarkan di bahagian atas jawatan ini) yang tidak ternilai ketika memahami hubungan kompleks dalam cerita ini. Terima kasih kepada Åsa Rosenberg, Ryan Britton, Matt Barry, Colette Chamberland, Dan Moen dan ahli pasukan Wordfence lain yang memberikan bantuan yang berharga. Terima kasih kepada Andie La-Rosa untuk menyunting.

Adakah anda menikmati siaran ini? Kongsi!

] ( 33 undi)
Kedudukan anda:



Sumber

Bacaan WordPress Yang Lebih Menarik!

Service Finder – Provider and Business Listing WordPress Theme
Themeforest,
Themeforest,

Service Finder – Provider and Business Listing WordPress Theme

Pembuat Rojak - January 18, 2018

Perkhidmatan Pencari WordPress Tema adalah tema perniagaan dan perkhidmatan direktori yang canggih. Pembekal Perniagaan dan Perkhidmatan dari pelbagai kategori boleh…

Advanced Activity Widget
Plugins,
3 views
Plugins,
3 views

Advanced Activity Widget

Pembuat Rojak - January 18, 2018

Widget Aktiviti Lanjutan - Plugin WordPress Widget Aktiviti Lanjutan Menambah kotak widget tab bertema resposnive ke bar sisi anda yang…

Pereka Masuk Logam: Gambaran Keseluruhan Terperinci dan Kajian
Elegant Themes,
3 views
Elegant Themes,
3 views

Pereka Masuk Logam: Gambaran Keseluruhan Terperinci dan Kajian

Pembuat Rojak - January 18, 2018

Halaman log masuk WordPress mudah digunakan, dan mereka dengan selamat. Satu-satunya kelemahan adalah bahawa mereka semua melihat betul-betul yang sama…

Leave a Comment

Your email address will not be published.