Une faille dans un plugin WordPress expose plus de 10 000 sites
Aux attaques par injection de code malicieux dans les requêtes reçues par ces sites

Le , par Coriolan

21PARTAGES

3  0 
Une faille décelée sur un plugin menace des milliers de sites WordPress. La nouvelle a été relatée dans un billet de blog de la firme de sécurité Sucuri. Elle prévient que le plugin WP Mobile Detector, qui permet de détecter l’appareil mobile du visiteur pour charger la version adaptée du site, inclut une brèche facilement exploitable par des personnes malintentionnées.

Les chercheurs de sécurité ont constaté qu’un nombre grandissant de sites ont été attaqués depuis le vendredi dernier. La faille a permis aux hackers d'infecter des sites vulnérables en installant des scripts relatifs à du contenu à caractère pornographique. Cette vulnérabilité a été rendue publique ce mardi et le plugin en question a été retiré de l’annuaire des plugins WordPress. Le plugin avait jusque-là plus de 10 000 installations et beaucoup d’entre elles restent actives.

Sucuri explique sur son blog que l'exploitation de cette faille est très facile dans la mesure où le plugin n'effectue pas de contrôle de sécurité. Cela permet donc au hacker d'injecter du code malicieux dans les requêtes reçues par les sites qui utilisent le plugin.

Depuis hier, le plugin a été mis à jour et la nouvelle version a corrigé la faille. Ce cas nous rappelle une fois encore à quel point la sécurité sur WordPress tient à un bout de fil, à la version du CMS et des plugins aussi, les deux pouvant contenir des failles permettant aux hackers de les exploiter.

Sources : Blog Sucuri, Threat Post

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Des pirates se servent d'attaques par injection de SQL pour attaquer des sites conçus avec le CMS Drupal et y installer de faux ransomware

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Spleeen
Membre régulier https://www.developpez.com
Le 04/06/2016 à 15:33
Surtout qu'il faut être vigilant et s'informer. Maintenant la sécurité tient souvent à rien, Dvp.com ne fait pas exception.
0  0 
Avatar de Eric30
Membre habitué https://www.developpez.com
Le 05/06/2016 à 12:33
Utiliser des solutions ultra-connues et utilisées n'a pas que des avantages.
Là se pose la question du suivi une fois la mise en production effectuée...
0  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 06/06/2016 à 18:32
le desaventage du monopole surtout, et le prix qui a avec.
0  0 

 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web