WordPress 安全性團隊 (WordPress Security Team) 發現多起仍在持續進行的網路釣魚詐騙,這些詐騙內容中偽冒「WordPress 團隊」(WordPress Team) 及「WordPress 安全性團隊」(WordPress Security Team),以矇騙網站管理員在自己的網站上安裝包含惡意程式碼的外掛。
如果你收到一封來路不明、自稱是 WordPress 的電子郵件,但是內容卻要求你安裝外掛/佈景主題,甚至是要求網站管理員的使用者名稱及密碼 (或類似的行為),請忽略這封電子郵件,並立即向你所使用的電子郵件服務提供商回報這封電子郵件是詐騙電子郵件。
這些電子郵件連結到一個網路釣魚網站,這個網站不屬於 WordPress 或其關聯實體的網域上的 WordPress 外掛存放庫。針對這起事件,Patchstack 及 Wordfence 都撰寫了更加詳盡的文章加以說明。
來自 WordPress 專案的官方電子郵件永遠會顯示以下資訊:
- 來源為
@wordpress.org
或@wordpress.net
這兩個網域。 - 在電子郵件詳細資料中同時會顯示 [簽署者:
wordpress.org
]。
WordPress 安全性團隊僅會在以下 2 個位置與 WordPress 使用者溝通及交流:
- 《Making WordPress Secure》部落格:make.wordpress.org/security
- 官方《WordPress News》網站:wordpress.org/news
WordPress 外掛團隊 (WordPress Plugin Team) 絕對不會直接與外掛使用者聯絡,但必要時會以電子郵件通知外掛技術支援人員、擁有者及參與者。這些通知電子郵件會使用 plugins@wordpress.org 傳送,並會使用與上方相同的簽署者。
官方 WordPress 外掛存放庫位於 wordpress.org/plugins,並以 wordpress.org 的子網域推出各個本地化版本,例如 tw.wordpress.org/plugins、en-gb.wordpress.org/plugins 等。子網域名稱可能包含連字號 (例如 en-gb),但一定會出現在 wordpress.org 的 w 前方的點之前。
WordPress 網站的網站管理員可以透過 WordPress 控制台中的 [外掛] 選單存取外掛存放庫。
WordPress 作為最為人所常用的內容管理系統,因此這種網路釣魚詐騙偶爾會發生,請對這些來源不明、要求網站管理員安裝佈景主題主題、外掛或連結至登入表單的電子郵件常保警覺之心。
Scamwatch 網站提供了一些可供使用者判斷是否為詐騙的電子郵件及文字訊息的簡單說明。
一如既往,如果你確信自己發現了 WordPress 的安全性漏洞,請遵循這個專案的安全性政策,透過這個專案的官方 HackerOne 頁面以不公開、積極的方式直接向 WordPress 安全團隊回報問題。
感謝 Aaron Jorbin、Otto、Dion Hulse、Josepha Haden Chomphosy 及 Jonathan Desrosiers 的協同合作及校閱英文原文內容。
內容來源
本篇內容來自官方公告〈Alert: WordPress Security Team Impersonation Scams〉。
發佈留言
很抱歉,必須登入網站才能發佈留言。