Une vulnérabilité dans une extension de WordPress permet de prendre le contrôle du site ciblé. Des attaques auraient déjà été opérées.

L’un des plug-ins les plus populaires pour créer un site sous WordPress contient une faille qui met directement en danger les propriétaires. C’est l’alerte émise par la société de cybersécurité PatchStack, qui a publié le 11 mai dans un billet blog un rapport sur l’extension Elementor.

Le module compromis, « Essential Addons for Elementor », une sorte de catalogue pour personnaliser les pages, a été ajouté par plus d’un million de sites utilisant WordPress, une plateforme qui permet d’avoir un site web fonctionnel très facilement. WordPress est devenu un incontournable aujourd’hui : des millions de sites web l’utilisent.

La brèche permet aux attaquants de lancer une réinitialisation du mot de passe des administrateurs, et donc de prendre le contrôle de leur plateforme. « Cette vulnérabilité est due au fait que cette fonction de réinitialisation ne fait appel à aucune clé de désactivation du précédent de mot de passe, et modifie directement celui de l’utilisateur concerné », peut-on lire dans le rapport.

Elementor est l'une des extensions WordPress les plus populaires au monde. // Source : Elementor
Elementor est l’extension WordPress qui pose problème. // Source : Elementor

Les conséquences d’une telle vulnérabilité sont potentiellement graves. Cela va de l’accès non autorisé à des informations privées, au défacement ou la suppression de sites web, en passant par la distribution de logiciels malveillants aux visiteurs et des répercussions sur la marque, telles que la perte de confiance.

Les attaquants doivent connaître un nom d’utilisateur permettant de se connecter à la plateforme WordPress du site pris pour cible avant de lancer leur opération, ce qui assez facile à retrouver aujourd’hui. Autre péril possible : passer par un prestataire pour réaliser son site qui ne sera pas au courant de cette vulnérabilité. L’entreprise Akamai a déjà relevé des attaques XSS — une injection de code malveillant dans un site — basées sur cette faille.

Un correctif en ligne

Un patch de Essential Addons for Elementor a été publié et mis à disposition sur cette page. Il est recommandé à tous les utilisateurs de ce module de passer à la dernière version dès que possible. Les failles dans les extensions WordPress sont courantes compte tenu du nombre élevé des solutions proposées aujourd’hui pour personnaliser son site.

Des attaques ont déjà eu lieu après des vulnérabilités similaires, généralement par injection de code malveillant, et le plus souvent sans conséquence grave. Néanmoins, un site mal sécurisé peut offrir de nombreuses données potentiellement exploitables ou revendues par la suite.

Nouveauté : Découvrez

La meilleure expérience de Numerama, sans publicité,
+ riche, + zen, + exclusive.

Découvrez Numerama+

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !