L’équipe de sécurité de WordPress a été notifiée d’une campagne de phishing (ou « hameçonnage ») usurpant l’identité de comptes officiels WordPress.org.
Ces campagnes de phishing utilisent comme nom d’expéditeur « WordPress Team » ou « WordPress Security Team » et tentent de faire croire à l’existence d’une faille de sécurité dans le cœur du CMS, et renvoient vers un site ressemblant au répertoire d’extensions WordPress.org, sur lequel se trouve une extension à télécharger permettant de corriger la faille de sécurité.
Il s’agit d’une arnaque : l’extension est une backdoor, c’est à dire qu’elle installe une porte dérobée permettant à une personne malveillante de se créer un compte d’administration sur votre site.
L’équipe de sécurité de WordPress n’envoie jamais d’e-mail vous demandant d’installer une extension ou un thème sur votre site, et ne vous demande jamais votre identifiant ni votre mot de passe.
Si vous recevez un e-mail prétendant provenir de WordPress avec des instructions similaires à celles décrites ci-dessus, ne tenez pas compte de celui-ci et indiquez si possible à votre fournisseur e-mail qu’il s’agit d’une escroquerie.
Les e-mails officiels du projet WordPress présentent toujours les caractéristiques suivantes :
- ils proviennent d’un domaine
@wordpress.org
ou@wordpress.net
- ils indiquent la mention « Signed by: wordpress.org » dans la section des détails de l’e-mail
L’équipe de sécurité de WordPress ne communique qu’aux endroits suivants :
- le blog « Making WordPress Secure » situé sur l’URL make.wordpress.org/security
- le site principal « WordPress News » situé sur les URLs wordpress.org/news ou fr.wordpress.org/news (pour les actualités en français)
L’équipe de gestion des extensions WordPress ne communique jamais directement avec les personnes ayant installé une extension, mais peut envoyer des e-mails aux propriétaires d’extensions hébergées sur WordPress.org. Ces courriels sont toujours envoyés à partir de l’adresse plugins@wordpress.org
et sont signés, comme indiqué ci-dessus.
Le dépôt officiel des extensions WordPress est situé à l’adresse wordpress.org/plugins
avec des versions internationalisées sur des sous-domaines pour chaque langue, tel que fr.wordpress.org/plugins
. Un sous-domaine peut contenir un trait d’union, mais un point apparaîtra toujours juste avant wordpress.org
.
WordPress étant le système de gestion de contenu le plus utilisé, ce type d’escroquerie par hameçonnage se produit occasionnellement. Prenez garde lorsque vous recevez un e-mail vous proposant d’installer un thème ou une extension, ou vous renvoyant vers un formulaire de connexion ressemblant au site officiel, il s’agit potentiellement d’une arnaque.
Quelques captures d’une des campagnes de hameçonnage en cours de diffusion (cliquer sur les images pour les ouvrir dans un nouvel onglet) :
Source des captures d’écran : @rmceoin@infosec.exchange