Le WordPress 5.5 récemment mis à jour contient une fonctionnalité qui empêche les plugins malveillants de s’emparer des sites WordPress. La modification permet à un site WordPress de vérifier si un plugin est légitime ou non et de l’empêcher de se mettre à jour s’il est signalé comme bloqué de mise à jour.
Fonctionnalité de sécurité WordPress non annoncée
Cette nouvelle fonctionnalité n’a pas reçu d’annonce.
Au lieu de cela, la notation de ce changement était pratiquement cachée dans une liste de centaines d’autres améliorations apportées à WordPress.
Il était caché dans une longue liste de centaines d’autres changements qui faisaient partie de WordPress 5.5.
Cette mise à jour du code au sein de WordPress 5.5 améliore la sécurité et mérite d’être mieux comprise car elle a un impact positif sur la sécurité.
La liste des modifications apportées à WordPress 5.5 est si longue que vous devez faire défiler six fois pour arriver à la note sur cette importante mise à jour liée à la sécurité.<img src="https://cdn.searchenginejournal.com/wp-content/uploads/2020/08/wordpress-changelog-5f34dd5c06bce.gif" alt="Capture d'écran de la liste des modifications apportées à WordPress" />Attaques de la chaîne d’approvisionnement WordPress
Il existe des organisations malveillantes qui achètent des plugins WordPress pour ajouter des publicités malveillantes, des portes dérobées et des liens. Cette méthode d’attaque profite de la confiance qu’un éditeur a pour un plugin qu’il a déjà téléchargé et approuvé.
Publicité
Continuer la lecture ci-dessous
Avec la mise à jour automatique activée, cela pourrait donner à un plugin malveillant un moyen facile d’infecter chaque éditeur utilisant ce plugin.
Cependant, WordPress a créé un moyen de signaler les mauvais plugins et de désactiver à distance la fonction de mise à jour automatique pour le plugin escroc.
Comment WordPress 5.5 arrête les plugins malveillants
WordPress a conçu un moyen de désactiver la mise à jour automatique des plugins en cas de problème.
« La nouvelle interface utilisateur de mise à jour automatique est géniale, mais elle gagnerait à avoir un moyen de désactiver à distance la mise à jour automatique pour un plugin/un thème.
Cela ouvrira la possibilité à WordPress.org de contrôler le déploiement d’une mise à jour automatique, par exemple, en mettant à jour automatiquement tout le monde 1 à 24 heures après la publication plutôt qu’immédiatement pour permettre la découverte de bogues majeurs.
Idéalement, il n’aura jamais besoin d’être utilisé pour cela, mais il protégera également les utilisateurs de WordPress en nous permettant de le désactiver pour un plugin ou entièrement s’il y a des comportements inattendus de sa part.
Le PR joint permet à la réponse de l’API WordPress.org d’inclure un indicateur disable_autoupdate qui le désactivera pour cet élément, cela n’affectera pas l’interface utilisateur et, espérons-le, ne sera jamais nécessaire (à part l’exemple de cas d’utilisation de la fumée A/B tests ou similaires).
Publicité
Continuer la lecture ci-dessous
Ce qui se passera, c’est qu’un site WordPress vérifiera si un plugin doit être mis à jour ou non.
Un “drapeau” appelé “disable_autoupdate” communiquera au site WordPress pour ne pas mettre à jour un plugin spécifique. Ce « drapeau » agit comme un contrôleur d’accès décidant quel plugin sera empêché de se mettre à jour.
Capture d’écran de la page WordPress documentant le changement de code
Ceci est une capture d’écran du code ajouté tel que documenté par WordPress. Le code agit comme un portier, demandant une réponse par oui ou par non afin de déterminer s’il faut autoriser ou bloquer une mise à jour de plugin.<img src="https://cdn.searchenginejournal.com/wp-content/uploads/2020/08/added-code-5f34d7973f9ac.png" alt="Capture d'écran du code WordPress" />Wordfence dit que c’est un bon changement
J’ai contacté les chercheurs en sécurité de Wordfence (@wordfence) à propos de cette nouvelle fonctionnalité.
Dans leur réponse, ils font référence aux termes techniques suivants :
- WP-Cron: Il s’agit d’une tâche planifiée qui est effectuée par l’installation de WordPress.
- Équipe principale et gestionnaires de pension : Travailleurs de WordPress.org.
- Dépôt: Où sont stockés les plugins
Voici ce que les chercheurs de Wordfence ont dit :
« Les mises à jour automatiques sont déclenchées par le wp-cron sur des sites individuels deux fois par jour.
Le site se tournera vers le référentiel pour identifier les mises à jour de thème/plugin si le propriétaire du site a activé les mises à jour automatiques pour ce thème ou ce plugin particulier.
Les développeurs de thèmes et de plugins du référentiel archiveront eux-mêmes une nouvelle version d’un plugin ; l’équipe principale et les gestionnaires de pension n’auditent pas ce code ou ne le vérifient pas.
Ainsi, avec la fonction de mise à jour automatique désormais en place, tout code de plug-in enregistré sera disponible en téléchargement sur tout site sur lequel les mises à jour automatiques sont activées.
Ce contrôle est conçu pour empêcher le déploiement de ce code sur les sites de mise à jour automatique en cas de problème. Par exemple, cette fonctionnalité pourrait empêcher certaines des attaques de la chaîne d’approvisionnement que nous avons vues dans le passé, lorsqu’un attaquant achetait des plug-ins et plaçait du code malveillant dans des plug-ins de référentiel.
Lorsqu’un site contacte le référentiel pour les mises à jour, le référentiel peut répondre avec cet indicateur (qui ne doit être défini que sur vrai ou faux) pour s’assurer que les plugins ou les thèmes présentant des problèmes ne sont pas automatiquement mis à jour.
Publicité
Continuer la lecture ci-dessous
Amélioration de la sécurité de WordPress 5.5
Cette nouvelle fonctionnalité n’a pas reçu d’annonce. Mais c’est important car il rend les sites de publication sur WordPress plus sûrs et empêche les criminels de s’emparer des sites WordPress.
Citations
Article Wordfence sur les attaques de la chaîne d’approvisionnement WordPress
Page WordPress GitHub pour le drapeau de mise à jour automatique
Autoriser l’API à désactiver à distance les mises à jour automatiques
— to www.searchenginejournal.com