Le CMS WordPress est tellement répandu qu’il est la cible privilégiée des pirates. Le mois dernier, ces derniers ont bien faillis exploiter une grosse faille de sécurité.
La popularité de WordPress fait de lui une cible de choix pour les pirates.
La version 4.1.1 de WP et antérieures étaient particulièrement sensible à une faille de sécurité qui aurait pu coûter cher à des millions de webmasters à travers le monde. C’est pour cela que WordPress avait émis un bulletin de sécurité demandant à ses utilisateurs de se mettre à jour immédiatement.
Deux problématiques se posaient à ce moment-là. La première concernant le jeux de caractères UTF-8 utilisé par MySQL. D’ordinaire, le codage sur 3 octets est plus que suffisant pour la plupart des langues modernes. Cela peut s’avérer insuffisant pour les caractères supplémentaires insérés par le « carrousel horse » (U+1F3A0) ou le « front-facing baby chick » (U+1F425). Ces Emoji d’apparence inoffensifs pouvaient mettre à mal votre base de données.
L’insertion de ces caractères spéciaux dans un champ en UTF-8 tronquait la chaîne de caractère et renvoyait un message « Incorrect string value ». Il faut donc utiliser le mode strict de mysql pour vous prémunir de ce problème. Le problème c’est que par défaut ce n’est pas le cas et WordPress ne fonctionne pas correctement en mode strict. C’est là que la seconde problématique entre en jeu.
Un correctif pas totalement efficace
Une fois les caractères spéciaux incompatibles insérés sur le site visé, il ne reste plus qu’à l’exploiter. Un problème qui se trouvait au niveau des commentaires permettait à n’importe qui sachant exploiter la faille, d’insérer du script dans un commentaire et de l’exécuter quel que soit le thème utilisé. Il s’agissait d’une faille XSS exploitant un problème de troncation UTF-8. Les 2 failles ont rapidement été corrigé. Elles n’ont pourtant pas été totalement bouchée car le lendemain un autre problème de troncation UTF-8 apparaissait. En effet, la taille des entrées du type TEXT de MySQL est limitée à 64
kilo-octets. Un très long commentaire sera donc tronqué. Tout comme le caractère encodé sur le jeu de caractères de 4 octets et avec les mêmes conséquences.
WordPress a donc eu la bonne initiative de proposer une mise à jour de sécurité comblant à la fois les 2 failles. Puis une seconde le 7 mai, comblant cette fois une vulnérabilité de type DOM XSS qui ciblait le CMS. Qualys, une société qui regroupe plusieurs experts en sécurité informatique, estime que le CMS WordPress est tellement répandus que la moitié des sites Web seraient donc vulnérables suite à l’absence de mises à jour par certains propriétaires utilisant WP.