Sécurité WordPress.org : réinitialisation de vos mots de passe

Sécurité WordPress.org : réinitialisation de vos mots de passe

Récemment, des rapports d’Andrew Wilder (NerdPress) et Chloe Chamberland (WordFence) ont mis en lumière un nombre limité de plugins compromis sur WordPress.org. En réponse à ces rapports, l’équipe de révision des plugins de WordPress a pris des mesures proactives pour garantir la sécurité des utilisateurs et des développeurs. Cet article détaille la situation et fournit un guide sur la procédure de réinitialisation des mots de passe pour les auteurs et commiteurs de plugins.

La Situation

Les rapports ont révélé que certains auteurs de plugins utilisaient les mêmes mots de passe que ceux exposés lors de violations de données sur d’autres plateformes. Contrairement à ce que l’on pourrait croire, ces compromissions ne sont pas dues à une faille de sécurité sur WordPress.org, mais plutôt à l’utilisation de mots de passe recyclés. Les attaquants ont exploité ces mots de passe pour ajouter du code malveillant à quelques plugins disponibles sur le répertoire de WordPress.org. En l’occurrence le code était une backdoor.

Mesures de Protection

Pour limiter les risques et protéger la communauté WordPress, plusieurs actions ont été mises en place :

  1. Suspension des nouvelles publications de plugins : Par mesure de précaution, la publication de nouveaux plugins a été temporairement suspendue.
  2. Approbation obligatoire des commits : Tous les nouveaux commits de plugins nécessitent désormais l’approbation de l’équipe de révision des plugins.
  3. Réinitialisation forcée des mots de passe : Les mots de passe de tous les auteurs de plugins et de certains autres utilisateurs ont été réinitialisés de force.

Procédure de Réinitialisation des Mots de Passe

Si vous êtes un auteur ou commiteur de plugins sur WordPress.org, voici la procédure à suivre pour réinitialiser votre mot de passe et sécuriser votre compte :

  1. Accéder au site de connexion de WordPress.org
  2. Demander la réinitialisation du mot de passe
    • Cliquez sur le lien « Mot de passe perdu ? ».
    • Entrez votre nom d’utilisateur WordPress.org.
    • Cliquez sur le bouton « Obtenir un nouveau mot de passe ».
  3. Suivre les instructions par email
    • Ouvrez votre email et trouvez le message de WordPress.org.
    • Cliquez sur le lien fourni dans l’email pour définir un nouveau mot de passe.
  4. Mettre à jour votre mot de passe
    • Suivez le lien pour accéder à la page de réinitialisation du mot de passe.
    • Entrez et confirmez votre nouveau mot de passe.
  5. Activer la double authentification (2FA)
    • Une fois votre mot de passe réinitialisé, nous vous recommandons fortement d’activer la double authentification (2FA) pour renforcer la sécurité de votre compte.
    • Suivez les meilleures pratiques récemment décrites par l’équipe de WordPress.org : Keeping Your Plugin Committer Accounts Secure.

Assistance

Si vous rencontrez des difficultés lors de la réinitialisation de votre mot de passe ou si vous avez des questions, n’hésitez pas à contacter l’équipe de support à l’adresse suivante : .

Vous aimerez aussi lire