Подтверждена информация о взломе серверной инфраструктуры проекта WordPress.com. Сообщается, что атакующим удалось проникнуть на ряд серверов, получить там root-привилегии и потенциально получить полный контроль над всеми работающими на взломанных серверах сервисами и данными. В частности, кроме стандартной открытой платформы WordPress, на серверах можно было найти представляющие интерес файлы конфигурации и код некоторых закрытых компонентов, разработанных для партнёров и возможно содержащих конфиденциальные сведения.
Детали о способе, которым был осуществлен взлом, не сообщаются. Также не известно уязвим ли код последнего релиза CMS WordPress, но в заявлении содержится утверждение о том, что разработчики в настоящее время работают над устранением уязвимости, которой воспользовались атакующие для первичного взлома серверов.
По предварительной информации в логах не зафиксировано какой-либо активности, говорящей о перехвате паролей пользователей блог-сервиса Wordpress в результате взлома. В случае, если утечка базы паролей все же имела место, разработчики сервиса сообщили о том, что все пароли хранились в виде необратимых хэшей, значения которых достаточно сложно подобрать. Тем не менее, Мэтт Мулленвег (Matt Mullenweg), создатель проекта WordPress, в своем блоге посоветовал пользователям поменять пароли, особенно если один и тот же пароль используется на нескольких сайтах или если пароль недостаточно сложен и подвержен словарным методам подбора.
|