Vidéo: WordPress 5.0 : Devez-vous faire la mise à jour ? (Novembre 2024)
Si vous possédez un site WordPress, assurez-vous de rester au-dessus des mises à jour, pas seulement pour la plate-forme principale, mais également pour tous les thèmes et plug-ins.
WordPress exploite plus de 70 millions de sites Web dans le monde entier, ce qui en fait une cible attrayante pour les cybercriminels. Les attaquants détournent souvent les installations WordPress vulnérables pour héberger des pages de spam et autres contenus malveillants.
Les chercheurs ont découvert un certain nombre de vulnérabilités graves dans ces plugins populaires WordPress au cours des dernières semaines. Vérifiez votre tableau de bord administrateur et assurez-vous que les dernières versions sont installées.
1. MailPoet v2.6.7 disponible
Des chercheurs de la société de sécurité Web Sucuri ont découvert une faille de téléchargement de fichier à distance dans MailPoet, un plugin qui permet aux utilisateurs de WordPress de créer des newsletters, de publier des notifications et de créer des répondeurs automatiques. Connu auparavant sous le nom de wysija-newsletters, le plugin a été téléchargé plus de 1, 7 million de fois. Les développeurs ont corrigé la faille dans la version 2.6.7. Les versions antérieures sont toutes vulnérables.
"Ce bogue doit être pris au sérieux; il donne à un intrus potentiel le pouvoir de faire tout ce qu'il veut sur le site de sa victime", a déclaré Daniel Cid, directeur de la technologie de Sucuri, dans un blog mardi. "Cela permet de charger n'importe quel fichier PHP. Cela peut permettre à un attaquant d'utiliser votre site web pour des leurres de phishing, l'envoi de SPAM, l'hébergement de logiciels malveillants, l'infection d'autres clients (sur un serveur partagé), etc.!"
La vulnérabilité supposait que quiconque effectuait l'appel spécifique pour télécharger le fichier était un administrateur, sans vérifier réellement que l'utilisateur était authentifié, a constaté Sucuri. "C'est une erreur facile à faire", a déclaré Cid.
2. TimThumb v2.8.14 disponible
La semaine dernière, un chercheur a publié les détails d'une vulnérabilité grave dans TimThumb v2.8.13, un plugin permettant aux utilisateurs de recadrer, zoomer et redimensionner les images automatiquement. Le développeur derrière TimThumb, Ben Gillbanks, a corrigé la faille dans la version 2.8.14, qui est maintenant disponible sur Google Code.
La vulnérabilité se trouvait dans la fonction WebShot de TimThumb, et permettait à des attaquants (sans authentification) de supprimer à distance des pages et de modifier du contenu en injectant du code malveillant sur des sites vulnérables, selon une analyse de Sucuri. WebShot permet aux utilisateurs de saisir des pages Web distantes et de les convertir en captures d'écran.
"Avec une simple commande, un attaquant peut créer, supprimer et modifier tous les fichiers de votre serveur", a écrit Cid.
WebShot n'étant pas activé par défaut, la plupart des utilisateurs de TimThumb ne seront pas affectés. Cependant, le risque d'attaques d'exécution de code à distance demeure, car TimThumb est utilisé dans les thèmes, plug-ins et autres composants tiers de WordPress. En fait, la chercheuse Pichaya Morimoto, qui a révélé la faille sur la liste de divulgation complète, a déclaré que WordThumb 1.07, WordPress Gallery Plugin et IGIT Posts Slider Widget étaient peut-être vulnérables, ainsi que des thèmes tirés du site themify.me.
Si WebShot est activé, désactivez-le en ouvrant le fichier timthumb du thème ou du plug-in et en définissant la valeur de WEBSHOT_ENABLED sur false, recommande Sucuri.
En fait, si vous utilisez toujours TimThumb, il est temps d’envisager de le supprimer progressivement. Une analyse récente réalisée par Incapsula a révélé que TimThumb était impliqué dans 58% des attaques par inclusion de fichiers à distance dirigées contre des sites WordPress. Gillbanks n’a plus maintenu TimThumb depuis 2011 (pour réparer un jour zéro) car la plate-forme principale WordPress prend désormais en charge les miniatures de publication.
"Je n'avais pas utilisé TimThumb dans un thème WordPress depuis le précédent exploit de sécurité de TimThumb en 2011", a déclaré Gillbanks.
3. Tout en un SEO Pack v2.1.6 disponible
Début juin, les chercheurs de Sucuri ont révélé une vulnérabilité d'élévation de privilèges dans All in ONE SEO Pack. Le plug-in optimise les sites WordPress pour les moteurs de recherche. Cette vulnérabilité permettrait aux utilisateurs de modifier les titres, les descriptions et les métabalises, même sans privilèges d'administrateur. Ce bogue pourrait être enchaîné avec une deuxième faille d'élévation de privilèges (également corrigée) pour injecter du code JavaScript malveillant dans les pages du site et "changer le mot de passe du compte de l'administrateur pour laisser une certaine porte dérobée dans les fichiers de votre site web", a déclaré Sucuri.
Selon certaines estimations, environ 15 millions de sites WordPress utilisent le Pack SEO All in One. Semper Fi, la société qui gère le plugin, a publié un correctif en 2.1.6 le mois dernier.
4. Login Rebuilder v1.2.3 disponible
Le Bulletin US-CERT Cyber Security de la semaine dernière incluait deux vulnérabilités affectant les plugins WordPress. La première était une faille de falsification de requête intersite dans le plug-in Login Rebuilder, qui permettrait aux attaquants de détourner l’authentification d’utilisateurs arbitraires. Essentiellement, si un utilisateur affichait une page malveillante alors qu’il était connecté au site WordPress, les attaquants pourraient alors détourner la session. L'attaque, qui n'a pas nécessité d'authentification, pourrait entraîner la divulgation non autorisée d'informations, la modification et la perturbation du site, selon la base de données nationale sur les vulnérabilités.
Les versions 1.2.0 et antérieures sont vulnérables. Developer 12net a publié une nouvelle version 1.2.3 la semaine dernière.
5. JW Player v2.1.4 disponible
Le deuxième numéro du bulletin US-CERT était une vulnérabilité de falsification de requête intersite dans le plug-in JW Player. Le plugin permet aux utilisateurs d'intégrer des clips audio et vidéo Flash et HTML5, ainsi que des sessions YouTube, sur le site WordPress. Les attaquants pourraient pirater à distance l'authentification d'administrateurs amenés à visiter un site malveillant et supprimer les lecteurs vidéo du site.
Les versions 2.1.3 et antérieures sont vulnérables. Le développeur a corrigé la faille dans la version 2.1.4 la semaine dernière.
Les mises à jour régulières sont importantes
L'année dernière, Checkmarx a analysé les 50 plugins les plus téléchargés et les 10 principaux plug-ins de commerce électronique pour WordPress et a identifié des problèmes de sécurité courants tels que l'injection SQL, la création de scripts entre sites et la falsification de requêtes entre sites dans 20% des plugins.
Sucuri a averti la semaine dernière que des "milliers" de sites WordPress avaient été piratés et que des pages de spam avaient été ajoutées au répertoire principal de wp-includes sur le serveur. "Les pages SPAM sont cachées dans un répertoire aléatoire dans wp-includes", a averti Cid. Les pages peuvent être trouvées sous / wp-includes / finance / paydayloan, par exemple.
Bien que Sucuri n’ait pas la "preuve définitive" de la manière dont ces sites ont été compromis, "dans presque tous les cas, les sites Web exécutent des installations WordPress ou cPanel obsolètes", écrit Cid.
WordPress a un processus de mise à jour assez simple pour ses plugins ainsi que pour les fichiers core. Les propriétaires de sites doivent régulièrement vérifier et installer les mises à jour pour toutes les mises à jour. Il est également intéressant de vérifier tous les répertoires, tels que wp-includes, pour vous assurer que les fichiers inconnus ne sont pas installés.
"La dernière chose que tout propriétaire de site Web souhaite est de savoir plus tard que sa marque et ses ressources système ont été utilisées pour commettre des actes répréhensibles", a déclaré Cid.
