Des dizaines de plug-ins WordPress sont hors ligne suite à la découverte d’une porte dérobée qui distribuait du code malveillant aux sites Web utilisant ces plug-ins. Cette porte dérobée a été découverte après l’acquisition du fabricant de plug-ins Essential Plugin.
Austin Ginder, fondateur d’Anchor Hosting, a signalé l’incident dans un article de blog détaillant une attaque de la chaîne d’approvisionnement contre Essential Plugin. Ginder a noté qu’après l’acquisition de la société l’année dernière, une porte dérobée avait été introduite dans le code source des plug-ins. Cette porte dérobée est restée inactive jusqu’à récemment, lorsqu’elle a commencé à diffuser du code malveillant vers tout site Web concerné.
Essential Plugin prétend avoir plus de 400 000 installations de plug-ins et plus de 15 000 clients. Actuellement, les plug-ins concernés sont présents dans plus de 20 000 installations WordPress actives, exposant de nombreux sites Web à d’éventuelles failles de sécurité.
Les plug-ins améliorent les fonctionnalités de WordPress mais accordent un accès important à leurs installations hôtes. Ginder a déclaré que les utilisateurs ne sont pas informés des changements de propriété des plug-ins, augmentant ainsi le risque d’attaques de rachat par de nouveaux propriétaires.
Cet incident marque le deuxième détournement signalé d’un plug-in WordPress au cours des deux dernières semaines. Ginder a souligné l’inquiétude croissante des chercheurs en sécurité concernant les acteurs malveillants qui acquièrent des logiciels uniquement pour modifier leur code afin de compromettre à grande échelle le réseau.
Les plug-ins compromis ont été supprimés du répertoire WordPress et sont désormais répertoriés comme définitivement fermés. Ginder a conseillé aux propriétaires de WordPress de vérifier leurs installations et de supprimer tout plug-in malveillant. Il a fourni une liste des plug-ins concernés dans son article de blog.
