Mettez (très) vite mettre à jour vos plugins WordPress…
Très populaire, WordPress est évidemment très prisé des hackers, qui peuvent notamment profiter actuellement de diverses failles de sécurité au sein de plugins très populaires…
WordPress toujours très populaire (aussi chez les hackers)
Récemment, une étude démontrait (à nouveau) la popularité du CMS WordPress, y compris chez les entreprises. Un récent rapport de Vanson Bourne démontre ainsi que WordPress est bien plus apprécié que d’autres CMS comme Adobe Experience Manager, Sitecore, Joomla, Drupal ou encore Umbraco. Toutefois, comme chacun le sait, un grand pouvoir implique de grandes responsabilités, et si WordPress est très prisé des utilisateurs, il constitue également une cible de choix pour les hackers.
Ainsi, les vilains pirates du web portent évidemment une attention toute particulière à WordPress, et guettent la moindre vulnérabilité pour tenter de faire vaciller un maximum de sites web. Récemment, ce sont certains plugins WordPress très populaires qui ont été visés, et ce sont des milliers de sites qui seraient actuellement « à risques » selon divers experts en sécurité.
Plus de 800 000 sites concernés ?
Parmi les différents plugins actuellement concernés par des failles de sécurité, on retrouve ThemeGrill Demo Importer, Profile Builder et enfin Duplicator. Tous trois sont concernés par une faille de sécurité majeure, qui peut facilement être exploitée par un internaute malintentionné, qui peut par exemple accéder à la section Admin d’un site web sous WordPress.
En ce qui concerne Duplicator, les versions inférieures à la mouture 1.3.28 contiennent une faille de sécurité qui permet à des utilisateurs non authentifiés de télécharger des fichiers arbitraires à partir des sites en question. En exploitant ce bug, un hacker peut récupérer le fichier de configuration d’un site (le précieux « wp-config.php ») où sont stockées les informations d’identification pour l’accès à la base de données. Selon Defiant, pas moins de 800 000 sites web utilisent une version « non sécurisée » de Duplicator…
Evidemment, si vous disposez d’un site sous WordPress, il est vivement conseillé de procéder rapidement à la mise à jour de ce dernier ainsi que de ses principaux plugins.
Source : techradar