Voici une liste des différents Plugin WordPress qui comporte une porte dérobé !
Certains plugin très connue ont été intentionnellement pourvue d’une porte dérobé dans leur code.
Malgré cette liste connue beaucoup de site continue encore à les utilisés.
Malgré les actions de l’équipe WordPress, les experts de White Fir ont assuré qu’ils ont continué à détecter des demandes tout au long de 2015 à partir de diverses adresses IP essayant d’accéder au code malveillant spécifique aux plugins qui disposaient de portes dérobées.
Ces attaques passées sont revenues sur le devant de la scène quand récemment, le répertoire WordPress Plugin a été changé de sorte que les pages pour les anciens plugins qui ont été fermés restent visibles, bien que l’option de téléchargement soit désactivée. Auparavant, ces pages n’étaient pas accessibles au public.
Les pages pour tous les anciens plugins qui ont comporté le code malveillant intentionnel montrent que même après presque trois années que l’équipe WordPress a supprimé les plugins du téléchargement public, il y a des centaines de sites qui les utilisent encore.
Dans le détail, il s’agit de:
- return-to-top, qui dispose encore de plus de 50 installations actives
- page-google-maps, qui dispose de plus de 500 installations actives
- gallery-slider, qui dispose de plus de 300 installations actives
- g-translate, qui dispose de plus de 60 installations actives
- share-button-wp, qui dispose de plus de 200 installations actives
- mailchimp-integration, qui dispose de moins de 10 installations actives
- smart-videos, qui dispose de plus de 70 installations actives
- seo-rotator-for-images, qui dispose de plus de 70 installations actives
- ads-widget, qui dispose de plus de 40 installations actives
- seo-keyword-page, qui dispose de plus de 200 installations actives
- wp-handy-lightbox, qui dispose de plus de 500 installations actives
- wp-popup, qui dispose de moins de 10 installations actives
- google-analytics-analyze, qui dispose de plus de 70 installations actives
- cookie-eu, qui dispose de moins de 10 installations actives
Il faut noter que tous les sites utilisant ces plugins peuvent être piratés par un attaquant sachant ce qu’il faut rechercher.
Certains experts ont suggéré à l’équipe WordPress d’alerter les utilisateurs de sites facilement piratables qui pourraient être utilisés abusivement pour la distribution de logiciels malveillants et d’avertir les propriétaires de site lorsqu’un plugin a été supprimé du répertoire WordPress Plugins officiel pour des raisons de sécurité.
Les membres du personnel de WordPress ont rapidement rejeté cette idée, estimant que cette procédure mettrait les sites WordPress face à un plus grand risque :« SI un exploit existe et que nous en parlions sans avoir diffusé un patch, nous vous mettons PLUS en danger », a déclaré Mika Epstein, membre de l’équipe WordPress. « Si nous faisons savoir qu’il y a un exploit, [LA PLUPART] des pirates vont alors lancer des attaques pour viser tout le monde, si nous ne le disons à personne, alors seuls les pirates informatiques qui LE SAVENT vont attaquer, ils l’auraient fait de toute manière. »
Mais les experts n’étaient pas satisfaits de cette résolution, et certains ont fait valoir que les employés de WordPress devraient prendre l’étape très intrusive de retirer les plugins vulnérables des sites affectés.
Le problème avec cette suggestion était qu’elle créait un dilemme moral et juridique entre la protection des sites contre les hacks et la violation des fonctionnalités sur certains sites Web en supprimant les plugins – et indirectement certaines fonctionnalités.
Un an après ces discussions, l’équipe WordPress semble avoir choisi un chemin différent. L’un des cas qui l’illustre est l’action prise par l’équipe une fois que le plugin Captcha, utilisé par plus de 300 000 sites, a inséré dans une de ses mises à jour une porte dérobée : l’équipe WordPress est intervenue en supprimant ce plugin du référentiel WordPress Plugins officiel, puis elle a travaillé de concert avec WordFence pour sortir une version corrigée de Captcha (4.4.5) qui est sans porte dérobée. « L’équipe responsable des plugins chez WordPress a utilisé la mise à jour automatique pour mettre à jour toutes les versions disposant de portes dérobées (4.3.6 – 4.4.4) vers la nouvelle version 4.4.5 », a alors expliqué le chercheur en sécurité de WordFence, Matt Barry.
En clair, pour le moment, pour lutter contre certaines menaces de sécurité majeures, il semble que les développeurs de WordPress vont restaurer les modifications de plugins malveillants à la dernière version propre du même plugin, qu’ils vont emballer comme une nouvelle mise à jour et l’installer de force sur tous les sites. De cette façon, toute vulnérabilité/porte dérobée majeure est supprimée, mais les fonctionnalités du site sont conservées. Notons que cette stratégie semble coûter un certain temps à l’équipe WordPress, ce qui peut expliquer le fait qu’elle n’est utilisée que pour des problèmes de sécurité majeurs seulement.