L’un des plug-ins les plus populaires pour créer un site sous WordPress contient une faille qui met directement en danger les propriétaires. C’est l’alerte émise par la société de cybersécurité PatchStack, qui a publié le 11 mai dans un billet blog un rapport sur l’extension Elementor.
Le module compromis, « Essential Addons for Elementor », une sorte de catalogue pour personnaliser les pages, a été ajouté par plus d’un million de sites utilisant WordPress, une plateforme qui permet d’avoir un site web fonctionnel très facilement. WordPress est devenu un incontournable aujourd’hui : des millions de sites web l’utilisent.
La brèche permet aux attaquants de lancer une réinitialisation du mot de passe des administrateurs, et donc de prendre le contrôle de leur plateforme. « Cette vulnérabilité est due au fait que cette fonction de réinitialisation ne fait appel à aucune clé de désactivation du précédent de mot de passe, et modifie directement celui de l’utilisateur concerné », peut-on lire dans le rapport.
Les conséquences d’une telle vulnérabilité sont potentiellement graves. Cela va de l’accès non autorisé à des informations privées, au défacement ou la suppression de sites web, en passant par la distribution de logiciels malveillants aux visiteurs et des répercussions sur la marque, telles que la perte de confiance.
Les attaquants doivent connaître un nom d’utilisateur permettant de se connecter à la plateforme WordPress du site pris pour cible avant de lancer leur opération, ce qui assez facile à retrouver aujourd’hui. Autre péril possible : passer par un prestataire pour réaliser son site qui ne sera pas au courant de cette vulnérabilité. L’entreprise Akamai a déjà relevé des attaques XSS — une injection de code malveillant dans un site — basées sur cette faille.
Un correctif en ligne
Un patch de Essential Addons for Elementor a été publié et mis à disposition sur cette page. Il est recommandé à tous les utilisateurs de ce module de passer à la dernière version dès que possible. Les failles dans les extensions WordPress sont courantes compte tenu du nombre élevé des solutions proposées aujourd’hui pour personnaliser son site.
Des attaques ont déjà eu lieu après des vulnérabilités similaires, généralement par injection de code malveillant, et le plus souvent sans conséquence grave. Néanmoins, un site mal sécurisé peut offrir de nombreuses données potentiellement exploitables ou revendues par la suite.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
