9 декабря 2015 года WP Engine разослал своим клиентам срочное уведомление о нарушении безопасности, в результате которого были раскрыты учетные данные клиентов . Этот инцидент вызвал расследование, которое в настоящее время завершено.
Согласно последнему и окончательному обновлению , следователи определили, что уязвимость системы безопасности произошла через одного из поставщиков облачной инфраструктуры хоста. Учетные данные клиента были раскрыты 4 декабря и обнаружены WP Engine 9 декабря. В этот момент клиенты были уведомлены, расследование было начато, а учетные данные клиентов были сброшены в качестве меры безопасности.
«WP Engine подвергся атаке со стороны внешнего преступника, чья точка входа прошла через одного из наших поставщиков облачной инфраструктуры», — сказал Tavern основатель и технический директор Джейсон Коэн.
«Расследование, проведенное нашей собственной командой безопасности и независимыми экспертами по безопасности, показало, что злоумышленник обошел несколько уровней аутентификации и получил несанкционированный доступ к административной панели, предоставленной этим поставщиком инфраструктуры. Поведение преступника в этом разоблачении совпадает с моделью, наблюдаемой в других атаках в 2015 году», — сказал он.
Когда новость о взломе была впервые опубликована, клиенты выразили недовольство отсутствием двухфакторной аутентификации на хосте. Однако Коэн сказал, что 2FA не оказала бы влияния на тех, кто пострадал от недавнего нарушения безопасности.
«Поскольку точка входа не была одной из наших систем, двухфакторная аутентификация не предотвратила бы это событие», — сказал он. «Тем не менее, двухфакторная аутентификация является передовой практикой, поэтому у нас есть планы развернуть двухфакторную аутентификацию на нашем пользовательском портале в начале 2016 года.
«Мы также рекомендуем нашим клиентам включить 2FA для своего сайта WordPress с помощью одного из следующих рекомендуемых плагинов: Google Authenticator или Clef, или использовать внешнюю систему аутентификации, такую как Google OAuth», — сказал Коэн.
WP Engine связался с компаниями, которые непосредственно пострадали от злоумышленника, и реализовал план по обеспечению их безопасности. На данный момент независимое расследование завершено, но WP Engine продолжает работать с правоохранительными органами, которые ведут уголовное расследование.
