Une nouvelle vulnérabilité de plugin WordPress a été découverte qui pourrait permettre à un attaquant d’accéder à la page de connexion de l’administrateur d’un site.
La vulnérabilité existe dans le plugin populaire WPS Hide Login et a été découverte par un utilisateur avec le pseudo thalakus qui a publié une brève description du problème sur le forum de support de WordPress.org.
Ironiquement, cette vulnérabilité va à l’encontre de l’objectif du plugin qui masque la page de connexion de l’administrateur d’un site WordPress et rend le répertoire wp-admin inaccessible.
Comme plus d’un million de sites WordPress utilisent WPS Hide Login pour ajouter une couche de sécurité plus profonde, les utilisateurs de ce plugin doivent mettre à niveau vers la dernière version maintenant pour empêcher tout attaquant d’exploiter cette vulnérabilité.
Sommaire
Masquer la page de connexion de l’administrateur
Alors que WPS Hide Login et peut être utilisé pour masquer la page de connexion administrateur d’un site, il existe en fait un autre moyen de le faire sans avoir à installer un plugin WordPress séparé selon Journal des moteurs de recherche.
Comme les pirates et les bots essayant d’attaquer la page de connexion d’un site WordPress regardent souvent dans son emplacement par défaut, l’installation de WordPress dans un dossier de répertoire avec un nom aléatoire peut être utilisée pour obtenir le même résultat. Ainsi, au lieu d’héberger la page de connexion sur /wp-login.php, vous pouvez l’installer dans un dossier de répertoire avec un nom aléatoire afin qu’il apparaisse comme ceci à la place : /random-file-name/wp-login.php.
Néanmoins, le plugin WordPress WPS Hide Login peut être utile pour les sites sur lesquels WordPress est déjà installé dans le répertoire racine.
Le créateur du plugin, Nicolas Kulka, a maintenant résolu le problème et les utilisateurs de WPS Hide Login doivent mettre à niveau le plugin vers la version 1.9.1 pour sécuriser leurs sites contre toute attaque potentielle exploitant cette vulnérabilité.
Nous avons également rassemblé les meilleurs plugins WordPress, le meilleur hébergement WordPress et les meilleurs services d’hébergement Web.
Via le journal des moteurs de recherche
