Sécurité : deux millions de mots de passe WordPress réinitialisés ,suite à la découverte de contributions malicieuses à trois plug-ins populaires.

Automatic vient de lancer une dépêche de sécurité importante sur le blog officiel de WordPress, y notifiant tous les utilisateurs du Blogware/CMS de la découverte de plusieurs contributions malintentionnées au code de trois de ses plug-ins les plus populaires.

Des commits acceptés sur le code de AddThis, WPtouch, et W3 Total Cache, se révèlent contenir des portes dérobées soigneusement dissimulées, créées et propagées par un ou plusieurs pirates non encore identifiés.

Automatic assure que les contributions malicieuses ne proviennent pas des auteurs de ces extensions et qu'elles ont été annulées par la publication d'une mise à jour dont il recommande vivement l'installation aux administrateurs des installations individuelles de WordPress.

De son côté, la firme prend la décision radicale de réinitialiser les deux millions de mots de passe de tous les comptes de WordPress.org, mais aussi bbPress.org et BuddyPress.org.

En attendant de passer au crible le code des extensions concernées à la recherche de toute autre menace, leurs dépôts de code resteront fermés jusqu'à nouvel ordre.

Cette découverte rappelle encore une fois que l'ouverture du code open source n'est jamais un gage certain contre l'insertion de code malicieux.

Même pour les projets les plus populaires.