Alerte au phishing usurpant l’identité de WordPress.org


L’équipe de sécurité de WordPress a été notifiée d’une campagne de phishing (ou « hameçonnage ») usurpant l’identité de comptes officiels WordPress.org.

Ces campagnes de phishing utilisent comme nom d’expéditeur « WordPress Team » ou « WordPress Security Team » et tentent de faire croire à l’existence d’une faille de sécurité dans le cœur du CMS, et renvoient vers un site ressemblant au répertoire d’extensions WordPress.org, sur lequel se trouve une extension à télécharger permettant de corriger la faille de sécurité.

Il s’agit d’une arnaque : l’extension est une backdoor, c’est à dire qu’elle installe une porte dérobée permettant à une personne malveillante de se créer un compte d’administration sur votre site.

L’équipe de sécurité de WordPress n’envoie jamais d’e-mail vous demandant d’installer une extension ou un thème sur votre site, et ne vous demande jamais votre identifiant ni votre mot de passe.

Si vous recevez un e-mail prétendant provenir de WordPress avec des instructions similaires à celles décrites ci-dessus, ne tenez pas compte de celui-ci et indiquez si possible à votre fournisseur e-mail qu’il s’agit d’une escroquerie.

Les e-mails officiels du projet WordPress présentent toujours les caractéristiques suivantes :

  • ils proviennent d’un domaine @wordpress.org ou @wordpress.net
  • ils indiquent la mention « Signed by: wordpress.org » dans la section des détails de l’e-mail

L’équipe de sécurité de WordPress ne communique qu’aux endroits suivants :

L’équipe de gestion des extensions WordPress ne communique jamais directement avec les personnes ayant installé une extension, mais peut envoyer des e-mails aux propriétaires d’extensions hébergées sur WordPress.org. Ces courriels sont toujours envoyés à partir de l’adresse plugins@wordpress.org et sont signés, comme indiqué ci-dessus.

Le dépôt officiel des extensions WordPress est situé à l’adresse wordpress.org/plugins avec des versions internationalisées sur des sous-domaines pour chaque langue, tel que fr.wordpress.org/plugins. Un sous-domaine peut contenir un trait d’union, mais un point apparaîtra toujours juste avant wordpress.org.

WordPress étant le système de gestion de contenu le plus utilisé, ce type d’escroquerie par hameçonnage se produit occasionnellement. Prenez garde lorsque vous recevez un e-mail vous proposant d’installer un thème ou une extension, ou vous renvoyant vers un formulaire de connexion ressemblant au site officiel, il s’agit potentiellement d’une arnaque.

Quelques captures d’une des campagnes de hameçonnage en cours de diffusion (cliquer sur les images pour les ouvrir dans un nouvel onglet) :

Capture d’écran d’un email d’arnaque visant à vous renvoyer vers un faux répertoire d’extensions WordPress.org. On remarquera que « WordPress » est écrit sans son « P » majuscule.
Capture d’écran du faux répertoire d’extensions : on remarquera qu’outre la mauvaise écriture de « WordPress », l’URL du site n’est pas exactement celle de wordpress.org.
Le code contenu dans l’extension proposée au téléchargement permet en réalité de créer un compte d’administration permettant à une personne tierce de prendre le contrôle de votre site.

Source des captures d’écran : @rmceoin@infosec.exchange