Faille de sécurité dans 3 plugins

wp plugins
Image by smemon87 via Flickr

Le 21 juin 2011, Matt Mullenweg, fondateur de WordPress, a annoncé sur WordPress.org, qu’une faille de sécurité, savamment dissimulée, avait été découverte au sein des plugins  AddThis, WPtouch and W3 Total Cache.

Ces failles de sécurité ont été découvertes au sein du site de plugins de WordPress.org, et la faute n’incombe en rien aux auteurs des plugins. A l’heure actuelle,personne ne sait comment les pirates ont pu modifier le code des plugins aus sein même du site.

Vous devez probablement vous dire « Mon Dieu, WordPress.org a été piraté ». De nos jours tout ce qui se trouve sur Internet est attaqué quotidiennement, aussi, pas de panique.

Un des points forts de WordPress repose sur le fait que les développeurs agissent immédiatement, afin de réparer les failles incriminées.

Par mesure de précaution, l’équipe WordPress a pris les mesures de sécurité suivantes :

  1. Blocage de l’accès au plugins sur WordPress.org le temps de vérifier tout ce qui peut paraître suspect.
  2. Retour vers les version précédentes des plugins AddThis, WPtouch and W3 Total Cache.
  3. Mise à disposition de version sécurisées des plugins affectés.
  4. Obligation de modifier les mots de passe de tous les comptes sur WordPress.org.

Les développeurs de WordPress poursuivent leurs investigations, tout en surveillant l’évolution de la situation.

Si vous êtes possesseur d’un compte sur WordPress.org, auteur d’un plugin ou d’un thème déposé sur le site WordPress.org, il est nécessaire de réinitialiser votre mot de passe. Pour réinitialiser votre mot de passe cliquez sur  ce lien http://wordpress.org/support/bb-login.php (cette procédure est également obligatoire pour bbPress.org et BuddyPress.org)

Soyez certain d’utiliser un mot de passe très fort ! Un minimum de 15 caractères, comprenant une combinaison de lettres majuscules et minuscules, des chiffres et des symboles. N’utilisez pas de mots issus du dictionnaire, ou votre nom, et SURTOUT, n’utilisez jamais deux fois le même mot de passe.

Chaque site sur lequel vous devez vous identifier doit avoir sont propre mot de passe, unique.

Si vous utilisez AddThis, WPtouch or W3 Total Cache plugins, que faire dans l’immédiat ? Si vous avez installé ou mis à jour l’un de ces plugins dans les derniers jours, rendez vous sur la console d’administration de votre blog, et effectuez immédiatement une mise à jour afin d’obtenir la dernière version. Les dernières versions officielles en date du 22 juin à 14h00 GMT sont :

  • AddThis version 2.2.0 (date de dernière mise à jour 20/06/2011)
  • WPtouch version 1.9.29 (date de dernière mise à jour 21/06/2011)
  • W3 Total Cache version 0.9.2.3 (date de dernière mise à jour 21/06/2011)

Les différents plugins ont été sécurisés à la date indiquée.

Je tiens à vous assurer qu’il n’y a aucunement lieu de paniquer.

Pas plus tard que la semaine passée j’ai installé W3 Total Cache, depuis, j’ai effectué la mise à jour et à présent je suis serein, la dernière version étant sécurisée. Avez vous installé ou mis à jour les plugins AddThis, WPtouch ou W3 Total Cache au cours des derniers jours ? Comment vous sentez vous après l’annonce de ces vulnérabilités ? J’aimerai connaître votre point de vue.

Enhanced by Zemanta

Publié à l'origine le : 23 juin 2011 @ 7 h 34 min

Pour compléter votre lecture.