Les développeurs de WordPress ont diffusé une mise à jour automatique à des millions d’utilisateurs, corrigeant leurs sites Web et éliminant plusieurs vulnérabilités.
Certaines de ces vulnérabilités étaient si graves que si elles étaient exploitées, elles pouvaient permettre à l’attaquant de prendre complètement le contrôle du site, tandis que d’autres étaient moins dangereuses et nécessitaient un certain niveau d’accès administrateur pour être exploitées.
Au total, quatre vulnérabilités ont été corrigées avec la version 5.8.3 de WordPress. Il est conseillé aux webmasters et autres administrateurs de vérifier la version de WordPress sur laquelle leur site s’exécute, pour s’assurer qu’ils ne peuvent pas être ciblés.
Sommaire
Grande plateforme, grande cible
Analysant la version de sécurité, les développeurs de plugins de sécurité WordPress Wordfence ont déclaré que le correctif était rétroporté sur toutes les versions de WordPress depuis la 3.7, la première version qui prend en charge les mises à jour automatiques de base pour les versions de sécurité. Cela signifie que pratiquement tous les sites Web devraient être sécurisés, car « tout site qui resterait vulnérable ne serait exploitable que dans des circonstances très spécifiques ».
WordPress est le constructeur de sites Web le plus populaire au monde et, en tant que tel, est souvent la cible d’acteurs malveillants et d’autres cyber-escrocs. Il offre aux utilisateurs une boutique en ligne avec des milliers de plugins, dont beaucoup pourraient comporter des vulnérabilités dangereuses.
Il y a moins d’un mois, il a été signalé que plus de 800 000 sites Web WordPress étaient encore vulnérables à une vulnérabilité de prise de contrôle « simple », en raison de la non-mise à jour du plugin SEO WordPress « All in One ».
Le chercheur en sécurité automatique Marc Montpas, qui a le premier repéré les failles, a déclaré qu’il est facile d’abuser de ces failles sur des sites vulnérables, car tout ce que l’attaquant doit faire est de changer « un seul caractère en majuscule » pour contourner toutes les vérifications de privilèges.
Il y a environ deux mois, une vulnérabilité dans le plugin Starter Templates – Elementor, Gutenberg & Beaver Builder Templates, a permis aux utilisateurs de niveau contributeur d’écraser complètement n’importe quelle page du site et d’intégrer du JavaScript malveillant à volonté. Dans ce cas, plus d’un million de sites étaient menacés.
Le même mois, le plug-in « Aperçu des e-mails pour WooCommerce » s’est également avéré contenir une faille sérieuse, permettant potentiellement aux attaquants de prendre le contrôle du site. Le plugin a été utilisé par plus de 20 000 sites.
- Vous pouvez également consulter notre liste des meilleurs pare-feu du moment
