Разработчики популярного плагина WordPress Multilingual (WPML)  заявили, что пострадали от атаки, устроенной бывшим сотрудником. Недовольный экс-разработчик дефейснул официальный сайт своей бывшей компании, а также разослал всем пользователям плагина письма, в которых рассказал о многочисленных проблемах WPML с безопасностью.

WPML – одно из наиболее популярных решений для поддержки нескольких языков на WordPress-сайтах. Согласно официальной статистике, плагин был загружен и установлен более 600 000 раз.

В минувшие выходные пользователи плагина стали получателями странной массовой рассылки. В письмах озаглавленных WPML Updates неизвестный предупреждал, что пользователям нужно немедленно проверить свои сайты на предмет компрометации, так как WPML буквально кишит уязвимостями, о которых известно разработчикам, однако те предпочитают эти проблемы игнорировать. Копию такого письма можно увидеть ниже.

Разработчики WPML поспешили заявить, что это неправда, опубликовав опровержение в официальном Twitter и направив пользователям письма с официальным заявлением. В компании утверждают, что ответственность за массовую рассылку лежит на бывшем сотруднике, который  перед увольнением оставил бэкдор на сервере и через него получил доступ к базе клиентов.

Помимо рассылки якобы фальшивых сообщений об уязвимостях он также дефейснул официальный сайт плагина, разместив на главной странице то же послание (архивная версия станицы доступна здесь), а в раздел с описанием функций продукта добавился пункт «Дыры в безопасности».

Фото Donnacha MacGloinn

В компании уверяют, что взломщик не имел доступа к финансовым данным клиентов, так как подобных деталей разработчики попросту не хранят, однако не исключено, что теперь бывший сотрудник имеет доступ к любым учетным записям на WPML.org, если он, как предполагается, скомпрометировал БД сайта. Также сообщается, что исходный код плагина не пострадал, то есть вредоносных версий WPML можно не опасаться.

Разработчики извиняются перед пользователями и пишут, что уже перестроили сервер с нуля, чтобы точно избавиться от бэкдора, а также приняли решение сбросить пароли пользователей в качестве меры предосторожности.

5 комментариев

  1. Аватар

    lostpassword

    21.01.2019 at 11:44

    Интересно, чем же они его так расстроили?

    • Аватар

      awaraqos

      21.01.2019 at 14:11

      То что это был бывший разработчик заявила сама компания, в письме он говорит о том, что обычный юзер, раздосадованный дополнение
      Они могут пытаться выгородить себя тем, что называют его бывшим разрабом

    • Аватар

      demon_sl

      22.01.2019 at 10:31

      Дыма без огня не бывает, может и преувеличено слегка, но плагин все же лучше тщательно проверить. Во-вторых, как они смогли определить, так быстро, что это бывший сотрудник? Он что, подпись оставил? Или догадались? Это же уголовное дело, он же не дурак сам себя так подставлять… может через плагин и взломал )) и если уж и сотрудник, то явно из высшего звена. И явно кричной конфликта были дыры.

  2. Аватар

    FarSeerMellon

    29.01.2019 at 19:23

    Ну и молодец! Так и стоило. 99% коддеров расслабили свои жопы и нихера не делает кроме как делают чтобы программы без обновлений мнимых ломались а «подписка» денег стоила. ОТ ЭТОГО Б№»;%Ь весь мир зависит, сейчас все на программах работает, ваще все. Страшно.

  3. Аватар

    emeliyanov

    03.02.2019 at 04:31

    Странно, у меня пожизненная лицензия с безлимитным числом сайтов, но первоначального емейла я не получал. Я получил письмо с извинениями от них позже, но не само неграмотное письмо.

Оставить мнение