WordPress a annoncé ce week-end qu’il suspendait les mises à jour des plugins et lançait une réinitialisation forcée des mots de passe des auteurs de plugins afin d’éviter toute compromission supplémentaire du site Web en raison de l’attaque en cours de la chaîne d’approvisionnement sur les plugins WordPress.
- WordPress suspend les mises à jour des plugins et réinitialise les mots de passe des auteurs.
- Des pirates attaquent les plugins en utilisant des identifiants exposés lors de violations de données.
- WordPress prend des mesures pour bloquer les attaques et sécuriser les plugins.
- La réinitialisation des mots de passe est obligatoire pour certains utilisateurs.
Attaque de la chaîne d’approvisionnement
Les pirates informatiques ont attaqué les plugins directement à la source en utilisant des identifiants de mot de passe exposés lors de violations de données précédentes (sans rapport avec WordPress lui-même). Les pirates informatiques recherchent des identifiants compromis utilisés par les auteurs de plugins qui utilisent les mêmes mots de passe sur plusieurs sites Web (y compris des mots de passe exposés lors d’une précédente violation de données).
WordPress prend des mesures pour bloquer les attaques
Certains plugins ont été compromis par la communauté WordPress qui s’est mobilisée pour mettre un terme à d’autres compromissions de plugins en instituant une réinitialisation forcée du mot de passe et en encourageant les auteurs de plugins à utiliser l’authentification à deux facteurs. WordPress a également temporairement bloqué toutes les nouvelles mises à jour de plugins à la source, à moins qu’elles ne reçoivent l’approbation de l’équipe afin de s’assurer qu’un plugin n’est pas mis à jour avec des portes dérobées malveillantes. Lundi, WordPress a mis à jour son message pour confirmer que les versions de plugins ne sont plus suspendues.
L’annonce de WordPress sur la réinitialisation forcée du mot de passe : « Nous avons commencé à forcer la réinitialisation des mots de passe pour tous les auteurs de plugins, ainsi que pour d’autres utilisateurs dont les informations ont été découvertes par des chercheurs en sécurité lors de violations de données. Cela affectera la capacité de certains utilisateurs à interagir avec WordPress.org ou à effectuer des commits jusqu’à ce que leur mot de passe soit réinitialisé.
Vous recevrez un e-mail du répertoire des plugins lorsque vous devrez réinitialiser votre mot de passe. Aucune action n’est requise avant d’en être informé. Une discussion dans la section des commentaires entre un membre de la communauté WordPress et l’auteur de l’annonce a révélé que WordPress n’avait pas contacté directement les auteurs de plugins identifiés comme utilisant des mots de passe « recyclés » car il existait des preuves que la liste des utilisateurs figurant dans la liste des violations de données dont les identifiants étaient en fait sûrs (faux positifs).
WordPress a également découvert que certains comptes supposés sûrs étaient en fait compromis (faux négatifs). C’est ce qui a conduit à l’action actuelle consistant à forcer la réinitialisation des mots de passe. Francisco Torres de WordPress a répondu : « Vous avez raison de dire que le fait de contacter spécifiquement ces personnes en leur indiquant que leurs données ont été compromises les rendra encore plus sensibles, mais malheureusement, comme je l’ai déjà mentionné, cela peut être inexact pour certains utilisateurs et d’autres seront manquants.
Ce que nous avons fait depuis le début de ce problème, c’est d’avertir individuellement les utilisateurs dont nous sommes certains qu’ils ont été compromis. »
Lisez l’annonce officielle de WordPress
Réinitialisation du mot de passe requise pour les auteurs de plugins Image en vedette par Shutterstock/Aleutie
FAQ
Comment sécuriser les plugins WordPress ?
Pour sécuriser les plugins WordPress, il est important de toujours les maintenir à jour avec la dernière version disponible. Il est également recommandé de ne pas installer des plugins provenant de sources non fiables et de n'utiliser que ceux qui ont été testés et approuvés par WordPress. De plus, il est conseillé d'activer uniquement les fonctionnalités nécessaires pour réduire les risques potentiels liés au plugin.
Enfin, pour une sécurité optimale, il est recommandé d'utiliser un plugin dédié à la sécurité pour détecter et prévenir toute attaque éventuelle.
Comment vérifier la vulnérabilité des plugins WordPress ?
Pour vérifier la vulnérabilité des plugins WordPress, il est recommandé de suivre les mises à jour régulières proposées par les développeurs. En effet, ces mises à jour incluent souvent des corrections de failles de sécurité.
De plus, il est important de consulter les avis et les commentaires laissés par d'autres utilisateurs pour s'assurer de la fiabilité du plugin en question. Enfin, il existe également des outils dédiés qui permettent de scanner vos plugins et thèmes WordPress à la recherche d'éventuelles vulnérabilités.
Quelle base de données répertorie les vulnérabilités des plugins WordPress ?
La base de données dédiée à la sécurité des plugins WordPress s'appelle WPScan. Elle recense toutes les vulnérabilités connues dans les extensions utilisées sur ce CMS.
Cette base de données est mise à jour régulièrement par une équipe spécialisée afin de garantir une veille constante et une protection maximale pour les utilisateurs de WordPress. En accédant à cette base de données, les administrateurs peuvent vérifier si leurs plugins présentent des failles de sécurité connues et prendre ainsi les mesures nécessaires pour protéger leur site web.
Existe-t-il un moyen de scanner les vulnérabilités des plugins WordPress ?
Oui, il existe des outils disponibles pour scanner les vulnérabilités des plugins WordPress tels que WPScan ou Sucuri. Ces outils permettent de détecter et de corriger les failles de sécurité dans les plugins installés sur un site WordPress.
Il est important de régulièrement effectuer ces analyses pour garantir la sécurité du site. Cependant, notez qu'un scan ne garantit pas une protection totale contre les cyberattaques, d'autres mesures de sécurité doivent également être mises en place.
Quels sont les outils pour détecter la vulnérabilité des plugins dans WordPress ?
Il existe plusieurs outils disponibles pour détecter la vulnérabilité des plugins dans WordPress. Les plus couramment utilisés sont WPScan, Plugin Vulnerabilities, ScanWP et Wordfence Security.
Ces outils analysent les plugins installés sur un site WordPress à la recherche de failles de sécurité connues, lesquelles peuvent être exploitées par des pirates informatiques. En utilisant ces outils régulièrement, il est possible de protéger son site contre les attaques qui exploitent les vulnérabilités des plugins.
