Une faille dans un plugin WordPress expose plus de 10 000 sites
Aux attaques par injection de code malicieux dans les requêtes reçues par ces sites

Le , par Coriolan, Chroniqueur Actualités
Une faille décelée sur un plugin menace des milliers de sites WordPress. La nouvelle a été relatée dans un billet de blog de la firme de sécurité Sucuri. Elle prévient que le plugin WP Mobile Detector, qui permet de détecter l’appareil mobile du visiteur pour charger la version adaptée du site, inclut une brèche facilement exploitable par des personnes malintentionnées.

Les chercheurs de sécurité ont constaté qu’un nombre grandissant de sites ont été attaqués depuis le vendredi dernier. La faille a permis aux hackers d'infecter des sites vulnérables en installant des scripts relatifs à du contenu à caractère pornographique. Cette vulnérabilité a été rendue publique ce mardi et le plugin en question a été retiré de l’annuaire des plugins WordPress. Le plugin avait jusque-là plus de 10 000 installations et beaucoup d’entre elles restent actives.

Sucuri explique sur son blog que l'exploitation de cette faille est très facile dans la mesure où le plugin n'effectue pas de contrôle de sécurité. Cela permet donc au hacker d'injecter du code malicieux dans les requêtes reçues par les sites qui utilisent le plugin.

Depuis hier, le plugin a été mis à jour et la nouvelle version a corrigé la faille. Ce cas nous rappelle une fois encore à quel point la sécurité sur WordPress tient à un bout de fil, à la version du CMS et des plugins aussi, les deux pouvant contenir des failles permettant aux hackers de les exploiter.

Sources : Blog Sucuri, Threat Post

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Des pirates se servent d'attaques par injection de SQL pour attaquer des sites conçus avec le CMS Drupal et y installer de faux ransomware


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Spleeen Spleeen - Membre du Club https://www.developpez.com
le 04/06/2016 à 15:33
Surtout qu'il faut être vigilant et s'informer. Maintenant la sécurité tient souvent à rien, Dvp.com ne fait pas exception.
Avatar de Eric30 Eric30 - Membre régulier https://www.developpez.com
le 05/06/2016 à 12:33
Utiliser des solutions ultra-connues et utilisées n'a pas que des avantages.
Là se pose la question du suivi une fois la mise en production effectuée...
Avatar de Aiekick Aiekick - Membre expérimenté https://www.developpez.com
le 06/06/2016 à 18:32
le desaventage du monopole surtout, et le prix qui a avec.
Offres d'emploi IT
Développeur Front End F/H
Zenika - Pays de la Loire - Nantes (44000)
Développeur(se) Web Full-Stack
Mojocom - Rhône Alpes - Les Gets (74260)
Lead Développeur Javascript (H/F)
Voyages-sncf.com - Ile de France - La Défense

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil