Mises à jour de plugins : WordPress impose un délai de sécurité de 24h
WordPress va imposer un délai de 24h avant la diffusion des mises à jour de plugins, afin de renforcer la sécurité face aux attaques de type supply chain.
Publié le par Emmanuel LASTRA2 min de lecture
Pendant des années, la sécurité des plugins WordPress a reposé sur un principe simple : appliquer les mises à jour de plugins le plus rapidement possible.
Une version à jour était considérée comme la meilleure défense contre les vulnérabilités, permettant de corriger les failles dès qu’elles étaient découvertes.
Le projet vient pourtant d’annoncer un changement de cap en introduisant un délai pouvant atteindre 24 heures avant la diffusion automatique (auto-updates) des nouvelles versions de plugins et de thèmes publiés dans les répertoires officiels.
Un délai de sécurité pour contrer les attaques de type supply chain
Cette période d’attente vise à réduire les risques liés aux attaques de la chaîne d’approvisionnement logicielle (supply chain). Ces dernières années et surtout ces derniers mois, plusieurs écosystèmes ont été touchés par des compromissions de paquets ou des prises de contrôle de projets légitimes afin de diffuser du code malveillant auprès d’un grand nombre d’utilisateurs.
Dans son billet “Protect The Shire”, Matt Mullenweg reconnaît que la rapidité de distribution des mises à jour, longtemps considérée comme un avantage en matière de sécurité, peut également devenir un vecteur d’attaque lorsqu’une version compromise est publiée. Le projet estime qu’un court délai d’analyse offre une protection supplémentaire face à des menaces devenues plus sophistiquées.
WordPress cite notamment l’affaire Essential Plugins, où des extensions légitimes auraient été revendues à un nouvel acteur ayant ensuite distribué du code malveillant. Ce type d’incident illustre les difficultés croissantes à vérifier la fiabilité d’une mise à jour, même lorsqu’elle provient d’une source pourtant réputée de confiance.
Un court délai d’attente permettra ainsi de détecter plus rapidement les anomalies et de limiter la diffusion de versions compromises, même si cela signifie que les correctifs de sécurité ne seront pas immédiatement disponibles pour tous les utilisateurs.
Un changement de philosophie pour privilégier la confiance plutôt que la rapidité
Pour les administrateurs de sites, l’impact devrait rester limité. Les mises à jour automatiques continueront de fonctionner, mais avec un léger décalage destiné à permettre des contrôles supplémentaires. Selon WordPress, cette approche et ce délai pourraient évoluer à l’avenir, mais la priorité est désormais donnée à la réduction des risques liés aux attaques de type supply chain, même au prix d’une diffusion moins immédiate des correctifs de sécurité.
Cette décision marque surtout une évolution de la philosophie du projet. À l’heure où les attaques ciblant les écosystèmes logiciels se multiplient, la question n’est plus seulement de savoir si une mise à jour est disponible, mais également si elle peut être considérée comme provenant d’une source non compromise.