As informações confidenciais relativas à base de código do WordPress podem ter sido roubadas. “Presumimos que nosso código fonte foi exposto e copiado. Embora grande parte do nosso código seja aberto, existem pedaços que pertencem a nós e nossos parceiros. No entanto, parece que a informação divulgada foi limitada”.
A violação dos servidores também contém sites hospedados no WordPress, mas esses são distintos do software, que qualquer um pode baixar e instalar em seu próprio site. “É importante ressaltar que o incidente só afeta potencialmente blogs do Wordpress.com e não os que decidiram usar o software do WordPress.org”, disse Graham Cluley, consultor sênior de tecnologia da Sophos, em uma postagem de blog.
Por conta do ocorrido, a companhia trabalha para limpar a violação e bloquear ataques similares no futuro. De acordo com Mullenweg: “estamos revisando constantemente registros e logaritmos sobre a invasão para determinar a extensão das informações expostas e reassegurar as entradas para obter acesso”.
Felizmente, não há evidências de que os invasores roubarem senhas dos usuários WordPress.com. Mesmo que tivessem feito, todo o armazenamento de senhas é realizado no formato embaralhado, usando o phpass, difícil de decifrar.
Cluley elogiou o site por divulgar a violação de uma forma clara e direta. No entanto ele e Mullenweg recomendam que todos com blog no WordPress.com mudem suas senhas imediatamente.
“Não sabemos se a violação de segurança deu acesso aos invasores às senhas dos blogueiros, mas sabemos que muitos usuários da internet têm optado por utilizar a mesma senha em vários sites. Se sua senha foi roubada, pode ser usada para acessar a várias outras contas online – e causar com isso um grande problema. Então, sempre use senhas diferentes”, aconselhou Cluley.