WordPress.com遭駭　部分客戶原始碼遭複製

WordPress創辦人Matt Mullenweg週三(4/13)表示，該公司發現駭客取得該公司部分伺服器最高管理權限，並複製部分Wordpress.com與客戶「具敏感性」的原始程式碼。

Matt表示，已仔細檢查系統日誌，試圖了解資料外洩的程度，並將系統弱點補強，發現可能有部分客戶的原始程式碼遭竊，其他資料損失有限。目前公司還在調查整個事件，建議用戶將密碼變更為比較複雜的模式，而且不要與其他網站共用密碼。

根據文章中的回覆，WordPress沒有證據認為駭客已經複製密碼相關的資料，而且該網站與Barracuda Network一樣使用加料雜湊演算法加密用戶密碼。Matt也強調不可能洩漏電話與信用卡等資料。

WordPress的VIP客戶TechCrunch在報導中表示，該公告淡化整個事件的影響，因為客戶可能為了整合行銷、推廣，在WordPress伺服器上存放API金鑰、Twitter、臉書等社交網路帳號及密碼等。

部分媒體認為官方說法有點怪異，畢竟WordPress的程式碼是一個開放源碼專案，任何人可以下載所有的原始程式碼，因此很難想像駭客跑到一個開放源碼為主的網站偷程式碼，而且駭客已經取得最高管理權，應該也會將系統日誌中相關資料刪除。

WordPress在2009年曾經因系統漏洞而遭入侵，建立隱藏的系統管理員。上個月初則遭受猛烈的阻斷服務攻擊(DDoS)，導火線可能是某一個中文部落格。最近的資料外洩事件中，RSA、Epsilon等也還沒有駭客或組織出面承認。

WordPress.com上面有一千八百萬個部落格，是全球最大網站，約為目前全球網站一成，每個月約有三億人使用。WordPress.org則為CMS平台開放源碼專案網站，兩個網站均由Automattic公司所管理。（編譯/沈經）