Pas une, mais deux failles de sécurité critiques ont été découvertes sur le plugin Wordpress PageLayer. Combinées, elles permettent à des hackers de prendre le contrôle du site et d’en supprimer le contenu, rappelle le Bleeping Computer.
C’est un vrai problème, car le plugin équipe plus de 200 000 sites qui ont besoin de cet outil clé en main pour gérer certaines interactions sur leur site, comme la capacité à déplacer un fichier d’un dossier à un autre à la souris.
Wordpress est un outil d’édition de site très répandu, et ses plugins sont régulièrement sujets à des failles. // Source : Pixabay
Les vulnérabilités ont été repérées le 30 avril par la Wordfence Threat Intelligence team, et le patch de sécurité a été publié une semaine plus tard, le 6 mai. Les sites qui ne font pas régulièrement leurs mises à jour sont encore exposés à l’attaque.
110 000 sites concernés n’ont toujours pas patché les failles
La première faille permettait à tout utilisateur avec des permissions de bas niveau (comme un abonné du site) de modifier les pages du sites, par exemple en ajoutant des liens malveillants.
La seconde faille permettait à des attaquants de créer se faire passer pour l’administrateur du site auprès du système. Les hackers pouvaient déposer une fausse requête afin de modifier les réglages de PageLayer. Cette manipulation les autorisait à ensuite injecter du code Javascript malveillant pour transformer les pages du site. Ils pouvaient également créer des comptes d’administrateurs ou encore mettre en place des redirections… S’il ne souhaite pas exploiter le site à des fins malveillantes, l’assaillant aura les droits suffisants pour simplement le supprimer.
Puisque le problème est résolu, il suffit de s’assurer que PageLayer soit mis à jour avec la version 1.1.2. Mais plus de 110 000 sites concernés ne l’ont pas encore fait, d’après le nombre de téléchargements de la mise à jour.
Découvrez les bonus
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Il y a une bonne raison de ne pas s'abonner à
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : faire comprendre le numérique et tous ses enjeux au plus grand nombre.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
