Des failles de sécurité découvertes dans 6 plugins populaires

WordPress est l’une des plateformes les plus utilisées par les personnes désirant avoir leur propre blog, mais elle reste la proie des pirates à la recherche de failles!

failles wordpress

Des failles de sécurité dans 6 plugins wordpress populaires.

25% des sites internet à travers le monde utilisent WordPress il n’est pas étonnant de voir de vilains pirates cherchaient à découvrir des failles afin de prendre le contrôle d’un espace d’hébergement ou de proposer du contenu indésirables aux visites d’un site sans le consentement de son propriétaire. Comme pour n’importe quel système d’exploitation (android, iOS, Windows, MAC, linux, …) plus la plateforme CMS est répandue plus le pirate à de chance de faire des victimes et il est donc normal que WordPress soit régulièrement sous les feux des projecteurs quand on parle de failles. Pourtant, ce n’est pas forcément le CMS lui-même qui est en cause. En effet, n’importe quel développeur peut proposer son plugin et ainsi apporter des fonctions supplémentaires à WordPress. Ce même plugin peut être troué et donc rendre la plateforme vulnérable. c’est ce qui arrive à 6 des plus populaires d’entre eux.

  1. C’est le cas de Fast Secure Contact Form avec + de 400 000 installations actives cela fait autant de victimes potentielles. Ce plugin souffre actuellement d’une vulnérabilité de type XSS. Si vous l’utilisez et que vous n’êtes pas encore passer à la version 4.0.38, je vous recommande vivement de le faire.
  2. C’est également le cas de Bulletproof Security. Cette fois, c’est 100 000 installations qui font autant de victimes potentielles. Là encore il s’agit d’une faille du type XSS. Il est donc urgent de passer à la version .52.9 si c’est pas encore fait.
  3. Cette fois c’est les 50 000 utilisateurs de Blubrry PowerPress podcasting plugin qui risquent gros, et encore à cause d’une vulnérabilité XSS. Il est donc inutile de leur préciser qu’il faut impérativement passer à la version 6.1 qui corrige le problème.
  4. Les 30 000 utilisateurs du plugins Form Manager version viennent s’ajouter à la, déjà, très longue liste des victimes des pirates. A moins qu’ils n’installent très vite la version 1.7.3 s’ils ne veulent pas que de vilains hackers n’exploitent la faille RCE pour exécuter du code à distance depuis leur site.
  5. Un peu moins nombreux mais tout aussi important, les 10 000 utilisateurs WordPress Files Upload risquent d’héberger sans le vouloir un fichier malicieux qui permettra ensemble de lancer un script depuis leur site. il est donc urgent d’installer la version 3.4.1 sortie il y a de ça, 13 jours.
  6. Crony Cronjob Manager 0.4.4 n’est pas le plugin le plus couramment utilisé, mais il semblerait que 2000 d’utilisateurs de wordpress ont été comblés par ce dernier. Bien mal leur en a pris puisque celui-ci souffre, non pas d’une, mais de 2 vulnérabilités. Une, du type XSS et une seconde de type CSRF. J’espère pour eux qu’ils passeront vite à la version 0.4.6.

Ces vulnérabilités démontrent une fois de plus que pour éviter le piratage de son site internet il est très important de maintenir WordPress et TOUT ses plugins à jour. Ce n’est d’ailleurs pas la première fois qu’un plugin est sujet à une faille rendant du même coup le CMS plus fragile. C’est comme ça que l’on se retrouve avec la moitié des sites internet vulnérables.

4 Commentaires

  1. Merci pour ces info très utiles …Pour sécuriser les sites WordPress de mes clients j utilise le plugin de sécurité Itheme security il est simple et intuitif …

  2. Très instructif comme article. Mais alors si j’ai bien compris, bien que ces failles ont été repérées dans ce CMS très populaire, il y a toujours la solution de « mis à jour ». Donc pour ne pas tomber dans ces pièges, il suffit d’être dans l’actualité.

  3. Au vu de ce que représente wordpress vis à vis des créateurs de site web.S’attaquer aux failles de securite de wordpress c’est s’atttaquer au web?

1 Rétrolien / Ping

  1. WordPress : Des failles de sécurit&eacut...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*