Les chercheurs en sécurité de la firme Sucuri ont découvert que l’extension WP Statistics du CMS WordPress est vulnérable à des attaques par injection de code via des requêtes SQL. Les versions de l’extension antérieures à 12.0.8 sont celles qui sont affectées.
Si l’on s’en tient aux chiffres publiés sur le site du CMS, cette extension tourne sur un minimum de 300 000 sites, ce qui en dit long sur sa popularité. Pour ce qui est du CMS lui-même, les chiffres DVP témoignent du regard que lui portent les membres de la communauté.
Un sondage DVP mené en septembre 2016 montre en effet – toutes proportions gardées – que le CMS WordPress serait utilisé par le plus grand nombre des membres de la communauté.
Dans une étude de la firme Sucuri – publiée parallèlement au sondage DVP 2016 sur WordPress –, les chercheurs ont souligné le fait que la négligence des webmestres était l’une des causes principales des attaques répétées contre les sites développés à l’aide de ce CMS.
Faillir à effectuer cette mise à jour de l’extension vers la version 12.0.8 ou postérieure viendrait donner encore plus de force à ce diagnostic des experts de la firme Sucuri.
Cette extension revêt une utilité pratiquement incontournable pour les sites Web de nos jours. Elle permet en effet d’obtenir : des informations en temps réel sur le nombre de visiteurs en ligne, de conserver des chiffres sur le nombre de visites reçues et de visiteurs et d’obtenir d’autres statistiques sur la page sur laquelle elle est déployée.
Ainsi, une fois le signalement de la vulnérabilité – sur une extension d’utilité aussi courante – reçu, et les correctifs disponibles, le responsable Web devrait procéder à une mise à jour dans les plus brefs délais.
Pour ceux qui n’ont pas encore effectué cette mise à jour laquelle, faudrait-il le rappeler, est disponible sur le site dédié à l’extension depuis le 29 juin, l’un des risques encourus par le biais de cette faille est de se faire voler la base de données du site développé à l’aide de ce CMS.
télécharger WP Statistics 12.0.9 ici
Source : Sucuri
Et vous ?
Qu’en pensez-vous ?
Voir aussi :
WordPress sort en urgence la mise à jour 4.7.2 pour corriger trois failles de sécurité incluant une faille de type injection SQL et XSS
WordPress : une faille critique a été découverte dans le plugin NextGen Gallery, il est installé sur plus d'un million de sites
WordPress : Plus de 90 000 sites et blogs seraient victimes d'attaques lancées par quatre groupes de hackers, altérant ainsi leur contenu
WordPress : l'extension WP Statistics vulnérable aux attaques par injection SQL
Nécessite une mise à jour vers 12.0.8 ou plus
WordPress : l'extension WP Statistics vulnérable aux attaques par injection SQL
Nécessite une mise à jour vers 12.0.8 ou plus
Le , par Patrick Ruiz
Une erreur dans cette actualité ? Signalez-nous-la !