WordPress 要求所有用户重置密码

今天早些时候，WordPress 开发团队注意到部分热门插件（AddThis、WPtouch 及 W3 Total Cache）的代码库中出现可疑的 commit，含伪装巧妙的后门。开发团队断定，这些 commit 并非出自作者之手，因此将代码库回滚，并为这些插件推送更新，同时关闭插件代码库的存取权限，继续查找其他可疑内容。

开发团队尚在研究具体情况，但作为预防措施，他们决定强制所有 WordPress.org 用户重置密码。用户在使用论坛、trac 或对插件或主题 commit 之前均需重置密码。（bbPress.org 与 BuddyPress.org 也受到影响）

作为用户，请确保同一密码不用于多处服务。开发团队还奉劝用户不要重置为原密码。

其次，如果安装有 AddThis、WPtouch 或 W3 Total Cache 并有可能在过去一天内进行了更新，请确保访问更新页面并升级各插件为最新版。

via WordPress Development Blog

文章来源：开源中国社区