IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

WordPress : l'extension WP Statistics vulnérable aux attaques par injection SQL
Nécessite une mise à jour vers 12.0.8 ou plus

Le , par Patrick Ruiz
2 commentaires

141PARTAGES

7  0 
Les chercheurs en sécurité de la firme Sucuri ont découvert que l’extension WP Statistics du CMS WordPress est vulnérable à des attaques par injection de code via des requêtes SQL. Les versions de l’extension antérieures à 12.0.8 sont celles qui sont affectées.

Si l’on s’en tient aux chiffres publiés sur le site du CMS, cette extension tourne sur un minimum de 300 000 sites, ce qui en dit long sur sa popularité. Pour ce qui est du CMS lui-même, les chiffres DVP témoignent du regard que lui portent les membres de la communauté.

Un sondage DVP mené en septembre 2016 montre en effet – toutes proportions gardées – que le CMS WordPress serait utilisé par le plus grand nombre des membres de la communauté.

Dans une étude de la firme Sucuri – publiée parallèlement au sondage DVP 2016 sur WordPress –, les chercheurs ont souligné le fait que la négligence des webmestres était l’une des causes principales des attaques répétées contre les sites développés à l’aide de ce CMS.

Faillir à effectuer cette mise à jour de l’extension vers la version 12.0.8 ou postérieure viendrait donner encore plus de force à ce diagnostic des experts de la firme Sucuri.

Cette extension revêt une utilité pratiquement incontournable pour les sites Web de nos jours. Elle permet en effet d’obtenir : des informations en temps réel sur le nombre de visiteurs en ligne, de conserver des chiffres sur le nombre de visites reçues et de visiteurs et d’obtenir d’autres statistiques sur la page sur laquelle elle est déployée.

Ainsi, une fois le signalement de la vulnérabilité – sur une extension d’utilité aussi courante – reçu, et les correctifs disponibles, le responsable Web devrait procéder à une mise à jour dans les plus brefs délais.

Pour ceux qui n’ont pas encore effectué cette mise à jour laquelle, faudrait-il le rappeler, est disponible sur le site dédié à l’extension depuis le 29 juin, l’un des risques encourus par le biais de cette faille est de se faire voler la base de données du site développé à l’aide de ce CMS.

télécharger WP Statistics 12.0.9 ici

Source : Sucuri

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

WordPress sort en urgence la mise à jour 4.7.2 pour corriger trois failles de sécurité incluant une faille de type injection SQL et XSS
WordPress : une faille critique a été découverte dans le plugin NextGen Gallery, il est installé sur plus d'un million de sites
WordPress : Plus de 90 000 sites et blogs seraient victimes d'attaques lancées par quatre groupes de hackers, altérant ainsi leur contenu

Une erreur dans cette actualité ? Signalez-nous-la !

2 commentaires
Commenter Signaler un problème
TiranusKBX
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 06/07/2017 à 12:27
Une attaque par injection SQL dans un module Wordpress aussi utilisé ?
laisser moi deviner :
  • pas de requete préparé
  • pas de vérification du retour des données utilisateur
  • pas d'échappement du ' ou "

prenez dans la liste au choix 1 ou plusieurs
Bien c'était les 3 en même temps
et en plus ça ne vérifiait pas les droits d'accès
3  0 
solstyce39
Avatar de solstyce39
Membre confirmé https://www.developpez.com
Le 06/07/2017 à 18:36
Alors je ne suis pas spécialiste en la matière, mais quand on créer un plug in Wordpress on est pas censé utiliser le module de gestion de requêtes SQL de wordpress qui lui est déjà protégé contre les injections SQL et autres ?
0  0