※ [本文轉錄自 Gossiping 看板 #1E0_hMqt ] 作者: iThome (伊東米) 看板: Gossiping 標題: [新聞] WordPress用戶注意：三外掛有後門，盡速重設密碼 時間: Fri Jun 24 10:47:47 2011 http://ppt.cc/kEni 研究人員Adam Harley分析，AddThis、WPtouch及W3 Total Cache這三個套件除了被藏入 後門程式之外，還設定為可以執行任何PHP程式，這可能導致整個網站存有其他問題。 著名部落格架站軟體WordPress週二(6/21)發佈通知警告使用WordPress套件自行架站的用 戶，發現AddThis、WPtouch及W3 Total Cache三個外掛被放入後門程式，呼籲用戶立即重 設密碼。 AddThis是一個可與社交網路連結的外掛，WPtouch提供適合智慧手機及平板電腦的部落格 版面，而W3 Total Cache號稱可以快取提升伺服器性能，這三款均遭人惡意藏入後門之後 發佈新的版本。 WordPress.org表示，確定後門程式不是原作者所為，至於原因仍在調查。目前尚未發現 任何攻擊，但為預防萬一，仍將重置所有WordPress.org網站用戶的密碼，用戶重設密碼 之後才能使用其論壇等功能，並提醒用戶不要使用與其他網站相同的密碼，該網站也提醒 用戶不要設定成先前的舊密碼。 根據一位研究人員Adam Harley分析，這三個套件除了被藏入後門之外，還設定為可以執 行任何PHP程式，這可能導致整個網站存有其他問題。 在WordPress發佈警告時這些套件已經開放下載約48小時，WPtouch已經被下載兩百萬次， 其他兩種至少被下載五十萬次。目前這些套件都已經修復，WordPress建議安裝這三個套 件的網站立即更新到最新的版本。（編譯/沈經） 註：WordPress為微軟LiveSpaces服務終止後官方指定轉移的部落格平台 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.130.134.220 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 118.166.117.157