Des failles de sécurité découvertes dans 6 plugins populaires

WordPress est l’une des plateformes les plus utilisées par les personnes désirant avoir leur propre blog, mais elle reste la proie des pirates à la recherche de failles!

Des failles de sécurité dans 6 plugins wordpress populaires.

25% des sites internet à travers le monde utilisent WordPress il n’est pas étonnant de voir de vilains pirates cherchaient à découvrir des failles afin de prendre le contrôle d’un espace d’hébergement ou de proposer du contenu indésirables aux visites d’un site sans le consentement de son propriétaire. Comme pour n’importe quel système d’exploitation (android, iOS, Windows, MAC, linux, …) plus la plateforme CMS est répandue plus le pirate à de chance de faire des victimes et il est donc normal que WordPress soit régulièrement sous les feux des projecteurs quand on parle de failles. Pourtant, ce n’est pas forcément le CMS lui-même qui est en cause. En effet, n’importe quel développeur peut proposer son plugin et ainsi apporter des fonctions supplémentaires à WordPress. Ce même plugin peut être troué et donc rendre la plateforme vulnérable. c’est ce qui arrive à 6 des plus populaires d’entre eux.

1. C’est le cas de Fast Secure Contact Form avec + de 400 000 installations actives cela fait autant de victimes potentielles. Ce plugin souffre actuellement d’une vulnérabilité de type XSS. Si vous l’utilisez et que vous n’êtes pas encore passer à la version 4.0.38, je vous recommande vivement de le faire.
2. C’est également le cas de Bulletproof Security. Cette fois, c’est 100 000 installations qui font autant de victimes potentielles. Là encore il s’agit d’une faille du type XSS. Il est donc urgent de passer à la version .52.9 si c’est pas encore fait.
3. Cette fois c’est les 50 000 utilisateurs de Blubrry PowerPress podcasting plugin qui risquent gros, et encore à cause d’une vulnérabilité XSS. Il est donc inutile de leur préciser qu’il faut impérativement passer à la version 6.1 qui corrige le problème.
4. Les 30 000 utilisateurs du plugins Form Manager version viennent s’ajouter à la, déjà, très longue liste des victimes des pirates. A moins qu’ils n’installent très vite la version 1.7.3 s’ils ne veulent pas que de vilains hackers n’exploitent la faille RCE pour exécuter du code à distance depuis leur site.
5. Un peu moins nombreux mais tout aussi important, les 10 000 utilisateurs WordPress Files Upload risquent d’héberger sans le vouloir un fichier malicieux qui permettra ensemble de lancer un script depuis leur site. il est donc urgent d’installer la version 3.4.1 sortie il y a de ça, 13 jours.
6. Crony Cronjob Manager 0.4.4 n’est pas le plugin le plus couramment utilisé, mais il semblerait que 2000 d’utilisateurs de wordpress ont été comblés par ce dernier. Bien mal leur en a pris puisque celui-ci souffre, non pas d’une, mais de 2 vulnérabilités. Une, du type XSS et une seconde de type CSRF. J’espère pour eux qu’ils passeront vite à la version 0.4.6.

Ces vulnérabilités démontrent une fois de plus que pour éviter le piratage de son site internet il est très important de maintenir WordPress et TOUT ses plugins à jour. Ce n’est d’ailleurs pas la première fois qu’un plugin est sujet à une faille rendant du même coup le CMS plus fragile. C’est comme ça que l’on se retrouve avec la moitié des sites internet vulnérables.