Une faille technique menace un million de sites web sous WordPress

Une faille technique menace un million de sites web sous WordPress

Une vulnérabilité dans une extension de WordPress permet de prendre le contrôle du web site ciblé. Des attaques auraient déjà été opérées.

L’un des plug-ins les plus populaires pour créer un web site sous WordPress contient une faille qui met directement en hazard les propriétaires. C’est l’alerte émise par la société de cybersécurité PatchStack, qui a publié le 11 mai dans un billet weblog un rapport sur l’extension Elementor.

Le module compromis, « Essential Addons for Elementor », une sorte de catalogue pour personnaliser les pages, a été ajouté par plus d’un million de sites utilisant WordPress, une plateforme qui permet d’avoir un web site web fonctionnel très facilement. WordPress est devenu un incontournable aujourd’hui : des tens of millions de sites web l’utilisent.

La brèche permet aux attaquants de lancer une réinitialisation du mot de passe des administrateurs, et donc de prendre le contrôle de leur plateforme. « Cette vulnérabilité est due au fait que cette fonction de réinitialisation ne fait appel à aucune clé de désactivation du précédent de mot de passe, et modifie directement celui de l’utilisateur concerné », peut-on lire dans le rapport.

Elementor est l'une des extensions WordPress les plus populaires au monde.   // Source : Elementor
Elementor est l’extension WordPress qui pose problème. // Source : Elementor

Les conséquences d’une telle vulnérabilité sont potentiellement graves. Cela va de l’accès non autorisé à des informations privées, au défacement ou la suppression de sites web, en passant par la distribution de logiciels malveillants aux visiteurs et des répercussions sur la marque, telles que la perte de confiance.

Les attaquants doivent connaître un nom d’utilisateur permettant de se connecter à la plateforme WordPress du web site pris pour cible avant de lancer leur opération, ce qui assez facile à retrouver aujourd’hui. Autre péril doable : passer par un prestataire pour réaliser son web site qui ne sera pas au courant de cette vulnérabilité. L’entreprise Akamai a déjà relevé des attaques XSS — une injection de code malveillant dans un web site — basées sur cette faille.

Un correctif en ligne

Un patch de Essential Addons for Elementor a été publié et mis à disposition sur cette web page. Il est recommandé à tous les utilisateurs de ce module de passer à la dernière model dès que doable. Les failles dans les extensions WordPress sont courantes compte tenu du nombre élevé des options proposées aujourd’hui pour personnaliser son web site.

Des attaques ont déjà eu lieu après des vulnérabilités similaires, généralement par injection de code malveillant, et le plus souvent sans conséquence grave. Néanmoins, un web site mal sécurisé peut offrir de nombreuses données potentiellement exploitables ou revendues par la suite.


Abonnez-vous gratuitement à Artificielles, notre e-newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !

…. to be continued
Read the Original Article
Copyright for syndicated content material belongs to the linked Source : Numerama – https://www.numerama.com/cyberguerre/1375408-une-faille-technique-menace-un-million-de-sites-web-sous-wordpress.html

Exit mobile version