WordPress réagit à l’attaque de la chaîne d’approvisionnement en renforçant la sécurité des plugins

Au cours du week-end dernier, WordPress a pris la décision de suspendre les mises à jour des plugins et d’initier une réinitialisation forcée des mots de passe des auteurs de plugins. Cette mesure fait suite à l’attaque de la chaîne d’approvisionnement sur les plugins WordPress qui est en cours.

L’attaque de la chaîne d’approvisionnement, qu’est-ce que c’est ?

Les hackers ont pris pour cible directement les plugins à la source, en exploitant les informations d’identification exposées lors de précédentes violations de données (non liées à WordPress lui-même). Ils cherchent à utiliser les données d’identification compromis par des auteurs de plugins qui emploient les mêmes mots de passe sur différents sites web.

Comme le disait Rainer Maria Rilke, célèbre poète autrichien, « les seules données dangereuses sont celles que nous ne protégeons pas ». Ainsi, la sensibilisation à une meilleure sécurité et la protection des données sont cruciales pour éviter ce genre de problèmes.

Les mesures prises par WordPress pour bloquer les attaques

Quelques plugins ont été compromis, mais la communauté WordPress a réagi rapidement pour empêcher d’autres compromissions de plugins en instaurant une réinitialisation forcée des mots de passe et en encourageant les auteurs de plugins à utiliser une authentification à deux facteurs.

En outre, WordPress a temporairement bloqué toutes les nouvelles mises à jour de plugins à la source, sauf celles ayant reçu l’approbation de l’équipe, afin de s’assurer qu’un plugin ne contienne pas de portes dérobées malveillantes. Lundi, WordPress a confirmé que la suspension des mises à jour des plugins était levée.

C’était un mouvement stratégique de leur part, comme l’expliquait Francisco Torres de WordPress : « Ce que nous avons fait depuis le début de ce problème est d’informer individuellement les utilisateurs que nous sommes certains qu’ils ont été compromis. »

Les actions à prendre aujourd’hui

WordPress encourage fortement tous les auteurs de plugin à réinitialiser leur mot de passe de manière proactive. Si vous êtes un auteur de plugin, vous recevrez un courriel du répertoire de plugins lorsque viendra le moment de réinitialiser votre mot de passe. Aucune action n’est requise avant de recevoir ce courriel.

Enfin, pour plus d’informations sur ce sujet, consultez l’annonce officielle de WordPress concernant la réinitialisation forcée des mots de passe : [Password Reset Required for Plugin Authors](https://make.wordpress.org/plugins/2024/06/29/password-reset-required-for-plugin-authors/)

Faisons écho aux paroles de Gary Halbert, figure emblématique de la rédaction, qui rappelait l’importance de l’adaptabilité : « Les individus les plus adaptables survivent ». Adaptabilité et réactivité semblent être les mots d’ordre de WordPress face à cette attaque.

Jérémy Lagache
Suivez-moi