WordPress est victime des attaques de plugins

WordPress a annoncé ce week-end qu’il suspendait les mises à jour des plugins et lançait une réinitialisation forcée des mots de passe des auteurs de plugins afin d’éviter toute compromission supplémentaire du site Web en raison de l’attaque en cours de la chaîne d’approvisionnement sur les plugins WordPress.

Attaque de la chaîne d’approvisionnement

Les pirates informatiques ont attaqué les plugins directement à la source en utilisant des identifiants de mot de passe exposés lors de violations de données précédentes (sans rapport avec WordPress lui-même). Les pirates informatiques recherchent des identifiants compromis utilisés par les auteurs de plugins qui utilisent les mêmes mots de passe sur plusieurs sites Web (y compris des mots de passe exposés lors d’une précédente violation de données).

WordPress prend des mesures pour bloquer les attaques

Certains plugins ont été compromis par la communauté WordPress qui s’est mobilisée pour mettre un terme à d’autres compromissions de plugins en instaurant une réinitialisation forcée du mot de passe et en encourageant les auteurs de plugins à utiliser l’authentification à deux facteurs. WordPress a également temporairement bloqué toutes les nouvelles mises à jour de plugins à la source, à moins qu’elles n’aient reçu l’approbation de l’équipe afin de s’assurer qu’un plugin n’est pas mis à jour avec des portes dérobées malveillantes. Lundi, WordPress a mis à jour son message pour confirmer que les versions de plugins ne sont plus suspendues. L’annonce de WordPress sur la réinitialisation forcée du mot de passe : « Nous avons commencé à forcer la réinitialisation des mots de passe pour tous les auteurs de plugins, ainsi que pour d’autres utilisateurs dont les informations ont été trouvées par des chercheurs en sécurité dans des violations de données. Cela affectera la capacité de certains utilisateurs à interagir avec WordPress.org ou à effectuer des commits jusqu’à ce que leur mot de passe soit réinitialisé. Vous recevrez un e-mail du répertoire des plugins lorsqu’il sera temps pour vous de réinitialiser votre mot de passe. Il n’est pas nécessaire d’agir avant d’en être informé. » Une discussion dans la section des commentaires entre un membre de la communauté WordPress et l’auteur de l’annonce a révélé que WordPress n’avait pas contacté directement les auteurs de plugins identifiés comme utilisant des mots de passe « recyclés » car il y avait des preuves que la liste des utilisateurs trouvés dans la liste des violations de données dont les identifiants étaient en fait sûrs (faux positifs). WordPress a également découvert que certains comptes supposés sûrs étaient en fait compromis (faux négatifs). C’est ce qui a conduit à l’action actuelle consistant à forcer la réinitialisation des mots de passe. Francisco Torres de WordPress a répondu : « Vous avez raison de dire que contacter spécifiquement les personnes en mentionnant que leurs données ont été trouvées dans des violations de données les rendra encore plus sensibles, mais malheureusement, comme je l’ai déjà mentionné, cela pourrait être inexact pour certains utilisateurs et il y en aura d’autres qui manqueront. Ce que nous avons fait depuis le début de ce problème, c’est d’avertir individuellement les utilisateurs dont nous sommes certains qu’ils ont été compromis. »

Lisez l’annonce officielle de WordPress

Réinitialisation du mot de passe requise pour les auteurs de plugins Image en vedette de Shutterstock/Aleutie