Une faille dans un plugin WordPress expose plus de 10 000 sites
Aux attaques par injection de code malicieux dans les requêtes reçues par ces sites
Le 2016-06-03 20:24:11, par Coriolan, Expert éminent sénior
Une faille décelée sur un plugin menace des milliers de sites WordPress. La nouvelle a été relatée dans un billet de blog de la firme de sécurité Sucuri. Elle prévient que le plugin WP Mobile Detector, qui permet de détecter l’appareil mobile du visiteur pour charger la version adaptée du site, inclut une brèche facilement exploitable par des personnes malintentionnées.
Les chercheurs de sécurité ont constaté qu’un nombre grandissant de sites ont été attaqués depuis le vendredi dernier. La faille a permis aux hackers d'infecter des sites vulnérables en installant des scripts relatifs à du contenu à caractère pornographique. Cette vulnérabilité a été rendue publique ce mardi et le plugin en question a été retiré de l’annuaire des plugins WordPress. Le plugin avait jusque-là plus de 10 000 installations et beaucoup d’entre elles restent actives.
Sucuri explique sur son blog que l'exploitation de cette faille est très facile dans la mesure où le plugin n'effectue pas de contrôle de sécurité. Cela permet donc au hacker d'injecter du code malicieux dans les requêtes reçues par les sites qui utilisent le plugin.
Depuis hier, le plugin a été mis à jour et la nouvelle version a corrigé la faille. Ce cas nous rappelle une fois encore à quel point la sécurité sur WordPress tient à un bout de fil, à la version du CMS et des plugins aussi, les deux pouvant contenir des failles permettant aux hackers de les exploiter.
Sources : Blog Sucuri, Threat Post
Et vous ?
Voir aussi :
Les chercheurs de sécurité ont constaté qu’un nombre grandissant de sites ont été attaqués depuis le vendredi dernier. La faille a permis aux hackers d'infecter des sites vulnérables en installant des scripts relatifs à du contenu à caractère pornographique. Cette vulnérabilité a été rendue publique ce mardi et le plugin en question a été retiré de l’annuaire des plugins WordPress. Le plugin avait jusque-là plus de 10 000 installations et beaucoup d’entre elles restent actives.
Sucuri explique sur son blog que l'exploitation de cette faille est très facile dans la mesure où le plugin n'effectue pas de contrôle de sécurité. Cela permet donc au hacker d'injecter du code malicieux dans les requêtes reçues par les sites qui utilisent le plugin.
Depuis hier, le plugin a été mis à jour et la nouvelle version a corrigé la faille. Ce cas nous rappelle une fois encore à quel point la sécurité sur WordPress tient à un bout de fil, à la version du CMS et des plugins aussi, les deux pouvant contenir des failles permettant aux hackers de les exploiter.
Sources : Blog Sucuri, Threat Post
Et vous ?
Voir aussi :
-
SpleeenMembre régulierSurtout qu'il faut être vigilant et s'informer. Maintenant la sécurité tient souvent à rien, Dvp.com ne fait pas exception.le 04/06/2016 à 15:33
-
Eric30Membre actifUtiliser des solutions ultra-connues et utilisées n'a pas que des avantages.
Là se pose la question du suivi une fois la mise en production effectuée...le 05/06/2016 à 12:33 -
AiekickMembre extrêmement actifle desaventage du monopole surtout, et le prix qui a avec.le 06/06/2016 à 18:32