WordPress : réinitialisation de tous les mots de passe suite un des commits suspects

1
74

Hier, l’équipe de WordPress a remarqué plusieurs choses suspectes dans plusieurs plugins populaires (AddThis, WPtouch, et W3 Total Cache). Ces derniers contiendraient des portes dérobées (backdoors) habilement déguisées.

Voici ce que déclare l’équipe dans un communiqué sur le site officiel :

Nous avons déterminé que les commits (mises à jour du référentiel central des plugins WordPress) ne sont pas des auteurs, nous les avons donc annulés, et remis à jour des plugins. De plus, l’accès au dépôt de plugins a été fermé.

Nous sommes en train de rechercher ce qui s’est passé, mais comme une mesure prophylactique, nous avons décidé de forcer la réinitialisation de tous les mots de passe sur WordPress.org. Pour utiliser les forums, trac, ou pour un plugin ou un thème, vous aurez besoin de réinitialiser votre mot de passe et d’en choisir un nouveau. (Idem pour bbPress.org et BuddyPress.org.)

En tant qu’utilisateur, assurez-vous de ne jamais utiliser le même mot de passe pour les deux services différents, et de choisir un mot de passe différent de l’ancien.

De plus, si vous utilisez AddThis, WPtouch, ou W3 Total Cache et il y a une possibilité que vous ayez été infecté lors des mises à jour frauduleuses d’hier, assurez-vous de visiter votre page de mise à jour et de mettre à niveau chacun des plugins concernés.

Les commentaires sont fermés.