Разработчики популярного плагина WordPress Multilingual (WPML) заявили, что пострадали от атаки, устроенной бывшим сотрудником. Недовольный экс-разработчик дефейснул официальный сайт своей бывшей компании, а также разослал всем пользователям плагина письма, в которых рассказал о многочисленных проблемах WPML с безопасностью.
WPML – одно из наиболее популярных решений для поддержки нескольких языков на WordPress-сайтах. Согласно официальной статистике, плагин был загружен и установлен более 600 000 раз.
В минувшие выходные пользователи плагина стали получателями странной массовой рассылки. В письмах озаглавленных WPML Updates неизвестный предупреждал, что пользователям нужно немедленно проверить свои сайты на предмет компрометации, так как WPML буквально кишит уязвимостями, о которых известно разработчикам, однако те предпочитают эти проблемы игнорировать. Копию такого письма можно увидеть ниже.
FYI: someone hacked @wpml's website and sent this out to everyone pic.twitter.com/lMml23qUjD
— Ben Word (@retlehs) January 19, 2019
Разработчики WPML поспешили заявить, что это неправда, опубликовав опровержение в официальном Twitter и направив пользователям письма с официальным заявлением. В компании утверждают, что ответственность за массовую рассылку лежит на бывшем сотруднике, который перед увольнением оставил бэкдор на сервере и через него получил доступ к базе клиентов.
Помимо рассылки якобы фальшивых сообщений об уязвимостях он также дефейснул официальный сайт плагина, разместив на главной странице то же послание (архивная версия станицы доступна здесь), а в раздел с описанием функций продукта добавился пункт «Дыры в безопасности».
В компании уверяют, что взломщик не имел доступа к финансовым данным клиентов, так как подобных деталей разработчики попросту не хранят, однако не исключено, что теперь бывший сотрудник имеет доступ к любым учетным записям на WPML.org, если он, как предполагается, скомпрометировал БД сайта. Также сообщается, что исходный код плагина не пострадал, то есть вредоносных версий WPML можно не опасаться.
We're very sorry to report that our WEBSITE got hacked. Looks like an ex-employee backdoor. There is NO exploit in the WPML plugin we doublechecked. Payment information was NOT compromised as we don't store this information. We strongly advise changing your WPML account password.
— WPML (@wpml) January 20, 2019
Разработчики извиняются перед пользователями и пишут, что уже перестроили сервер с нуля, чтобы точно избавиться от бэкдора, а также приняли решение сбросить пароли пользователей в качестве меры предосторожности.
We're rebuilding the server from scratch, resetting all passwords and locking down everything. We'll write again once our site is secured again. Again, we're very sorry for having lost your name and email to this intruder. Besides fixing the site, we'll also take legal action.
— WPML (@wpml) January 20, 2019