Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

WordPress : une brèche dans WP Mobile Detector à colmater rapidement

De nombreux sites contaminés

Wordpress : une brèche dans WP Mobile Detector à colmater rapidement

Le 03 juin 2016 à 12h20

Une faille dans le plugin WP Mobile Detector de Wordpress permet actuellement à des pirates de contaminer des milliers de sites. Il est conseillé de mettre à jour le module aussi rapidement que possible ou de la désinstaller.

Comme souvent constaté avec sites Wordpress, la sécurité tient autant à la version utilisée du CMS (Content management system) qu’à ses nombreux plugins. Les failles peuvent se trouver dans l’un ou l’autre, permettant aux pirates de les exploiter pour insérer du contenu malveillant dans les pages. Quand ce n’est pas un lien vers un malware, ce peut être de la promotion vers des contenus pornographiques, ce qui est le cas ici.

Un nombre croissant de sites contaminés

Dans un billet de blog paru hier, la société de sécurité Sucuri a prévenu de l’exploitation active d’une faille dans le module WP Mobile Detector, chargé de détecter précisément quel appareil mobile est utilisé pour lui renvoyer une version adaptée du site. Cette brèche y est décrite comme très facile à exploiter, ce dont les pirates ne se privent pas.

Sur les derniers jours, Sucuri indique avoir constaté un nombre croissant de sites attaqués via cette vulnérabilité. Dans la plupart des cas, les pirates mettent en place un système de spam renvoyant vers du contenu pornographique. La société précise que la faille est connue publiquement depuis le 31 mai, que les premières attaques ont été détectées dès le 27.

La mise à jour est disponible

La brèche s’exploite en envoyant une requête contenant une adresse à resize.php ou timthumb.php. Un fichier css.php peut alors être placé dans le cache du dossier contenant le module. Un mot de passe particulier (« dinamit ») permet ensuite d’accéder aux fonctionnalités. Durant les premiers temps, la seule solution complète était de désinstaller complètement le plugin. On pouvait également désactiver l’exécution du code PHP dans le dossier de WP Mobile Detector, ce qui n’empêchait pas cependant l’upload de fichiers.

Depuis cette nuit cependant, une nouvelle version de WP Mobile Detector est disponible au téléchargement. Il est recommandé aux utilisateurs de la récupérer aussi rapidement que possible. Le problème est d’autant plus sérieux que, comme le pointe Ars Technica, plus de 10 000 sites se servent de ce plugin. Les notes de version montrent bien que la version 3.6 colmate la vulnérabilité avec le script resize, une mouture 3.7 ajoutant les fichiers manquants.

Une sécurité à entretenir

Le cas rappelle que la sécurité de Wordpress doit être soigneusement contrôlée. Si l’on utilise son propre serveur, les mises à jour du CMS doivent impérativement être faites car elles corrigent régulièrement des soucis de sécurité. Il faut également prendre un soin particulier dans le choix des plugins, en vérifiant notamment s’ils sont mis à jour régulièrement. Notez d’ailleurs que WP Mobile Detector avait rapidement été supprimé du dépôt officiel par Wordpress, avant d’y revenir une fois corrigé.

Commentaires (25)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Jamais utilisé cet addon perso, je me suis contenté de custom un template de base et ils ont un design qui s’adapte en fonction du client.

votre avatar

Une faille critique dans wordpress ? Noooon ! Pas possible ! <img data-src=" />



Plus sérieusement il faudrait vraiment que les gens arrêtent complètement d’utiliser wordpress tant que le code n’aura pas été entièrement revu…. Le nombre de failles critiques 0-day de cette bouse est juste hallucinant…. Et les multiples correctifs de sécurités en rajoutent encore….



Du procédural en 2016 <img data-src=" />

votre avatar







Fuinril a écrit :



Une faille critique dans wordpress ? Noooon ! Pas possible ! <img data-src=" />



Plus sérieusement il faudrait vraiment que les gens arrêtent complètement d’utiliser wordpress tant que le code n’aura pas été entièrement revu…. Le nombre de failles critiques 0-day de cette bouse est juste hallucinant…. Et les multiples correctifs de sécurités en rajoutent encore….



Du procédural en 2016 <img data-src=" />





<img data-src=" />



Ça devient un argument de vente pour mes clients “nous on dev, on installe pas de CMS et surtout pas de WP” C’est plus cher (encore que) à l’install et tellement plus simple à la maintenance.



Du procédural en 2016 bien sûr, et même en 2050, c’est pas un problème. Ça dépend du besoin, de la finalité. Ça marche très bien le procédural, j’en fais aussi pour tout un tas de raisons lorsque que cela se justifie.


votre avatar







boogieplayer a écrit :



<img data-src=" />



Ça devient un argument de vente pour mes clients “nous on dev, on installe pas de CMS et surtout pas de WP” C’est plus cher (encore que) à l’install et tellement plus simple à la maintenance.



Du procédural en 2016 bien sûr, et même en 2050, c’est pas un problème. Ça dépend du besoin, de la finalité. Ça marche très bien le procédural, j’en fais aussi pour tout un tas de raisons lorsque que cela se justifie.









Ca dépend de tes projets mais pas de CMS, sur un gros projet c’est compliqué….



Remarque ça colle avec la suite : le procédural c’est bien pour un petit projet (site institutionnel, tout petit ecomerce, site vitrine….) mais dès que tu veux faire un truc un chouilla complexe (avec des modules par exemple) il faut impérativement oublier ! Sinon c’est l’usine à gaz assurée…



Tous les gros CMS php qui avaient été créé en php4 ont refondu complètement leur code au moins une fois depuis….. tous sauf wordpress…. Rien d’étonnant à ce que ce soit un gruyère… N’importe quel dev un tant soit peu compétent qui bosse sur du WP trouve des failles sans même les chercher, juste en bossant… C’est dire la qualité du bouzin….


votre avatar

WP est en train de devenir le “Java” des CMS…

votre avatar

Ouais c’est plus simple pour vous, le jour où ton client veut aller voir ailleurs… Il va être content avec sa solution maison.



Après il y a sans doute peu de clients qui pensent au long terme <img data-src=" />

votre avatar

J’attends le support de l’unicode avant de migrer ! <img data-src=" />





PS : si ça peut te rassurer je suis nettement plus critique envers les “jeunes” dev PHP qui se disent dev mais qui n’ont pas la moindre foutue idée de ce qu’est un pointeur (et eux n’ont pas d’excuses !)

votre avatar







Fuinril a écrit :



J’attends le support de l’unicode avant de migrer ! <img data-src=" />





Ah. Alors tu vas avoir besoin d’une bonne bière bien fraîche, j’ai peur que tu déchesses &nbsp;au soleil.&nbsp;<img data-src=" />


votre avatar







boogieplayer a écrit :



Ah. Alors tu vas avoir besoin d’une bonne bière bien fraîche, j’ai peur que tu déchesses  au soleil. <img data-src=" />







Je te prends au mot ! Santé <img data-src=" />


votre avatar

C’est bien beau de critiquer à tout va, mais vous proposez quoi comme solution pour une petite entreprise qui a pas forcément les moyens de mettre 5000€ et + dans un site internent from scratch?



Personnellement, je l’utilise pour un site vitrine et il fait très bien le taf. J’ai aucune donnée sensible dessus et je veille à ce qu’il soit à jour. Ca me permet de l’actualiser facilement et la gestion se fait bien.

Mes compétences sont assez limitées dans ce domaine bien que je tente tout les jours d’en apprendre un peu plus.



Joomla est-il réellement meilleur? ou alors un autre?

votre avatar

Quelqu’un a déjà testé le CMS Respond ? J’ai joué un peu avec, ça avait l’air plutôt sympa.



Je me demande si c’est utilisable pour un projet “sérieux”.

votre avatar







Lyaume a écrit :



C’est bien beau de critiquer à tout va, mais vous proposez quoi comme solution pour une petite entreprise qui a pas forcément les moyens de mettre 5000€ et + dans un site internent from scratch?



Personnellement, je l’utilise pour un site vitrine et il fait très bien le taf. J’ai aucune donnée sensible dessus et je veille à ce qu’il soit à jour. Ca me permet de l’actualiser facilement et la gestion se fait bien.

Mes compétences sont assez limitées dans ce domaine bien que je tente tout les jours d’en apprendre un peu plus.



Joomla est-il réellement meilleur? ou alors un autre?





Il y a Drupal aussi, après je ne saurais dire s’il a moins de faille que WP ^^


votre avatar







Fuinril a écrit :



Ca dépend de tes projets mais pas de CMS, sur un gros projet c’est compliqué….



Remarque ça colle avec la suite : le procédural c’est bien pour un petit projet (site institutionnel, tout petit ecomerce, site vitrine….) mais dès que tu veux faire un truc un chouilla complexe (avec des modules par exemple) il faut impérativement oublier ! Sinon c’est l’usine à gaz assurée…



Tous les gros CMS php qui avaient été créé en php4 ont refondu complètement leur code au moins une fois depuis….. tous sauf wordpress…. Rien d’étonnant à ce que ce soit un gruyère… N’importe quel dev un tant soit peu compétent qui bosse sur du WP trouve des failles sans même les chercher, juste en bossant… C’est dire la qualité du bouzin….



voir ci dessous





zogG a écrit :



Ouais c’est plus simple pour vous, le jour où ton client veut aller voir ailleurs… Il va être content avec sa solution maison.



Après il y a sans doute peu de clients qui pensent au long terme <img data-src=" />





Je vous réponds à tous les deux, on installe des projets de grosse envergure, le dernier pour Crédit Agricole S.A sans une goutte de CMS. D’ailleurs t’as plus intérêt à pas prendre de CMS, car tu es incapable juridiquement d’expliquer que tu as la maîtrise de l’ensemble du code.



On a fait des trucs qui durent depuis des années, sans CMS, avec de l’évolution permanente. Ça ne pose pas de problème particulier, voir ça nous simplifie la vie : on n’est pas tributaire d’un choix soudain des dev du CMS qui rends l’affaire incompatible avec ce que tu as fait, du coup tu deviens incapable de garantir la sécu du projet. Moi je me suis colltiné les avocats du Crédit Agricole pendant 4 mois pour les termes du CGV et du contrat, le risque de te faire éparpiller façon puzzle au tribunal en cas de soucis est proche de 100% avec l’utilisation d’un CMS ! surtout si c’est une faille 0-day qui vient exploser ton projet.



&nbsp;Au contraire même, je pense que c’est plus safe pour tout le monde d’avoir une solution sur mesure pour des gros projets, et finalement les petits. Si on se sépare c’est de toute manière aussi compliqué pour l’autre prestataire de reprendre derrière toi : tu utilise un CMS qu’il ne connait pas c’est aussi compliqué que du code maison, croyez moi.



&nbsp;du coup on une maintenance plus aisée et des changement de version plus facile a suivre. Ce n’est que mon avis, et notre façon faire. On fais comme ça depuis plus de 10 ans.&nbsp;<img data-src=" />


votre avatar

+1



Selon moi WP, Joomla et autre Drupal doivent rester pour des sites à très faibles budgets (sites perso ou associatifs).

Pour tout le reste, c’est plus sûr de repartir from scratch voire d’utiliser un CMS maison.

votre avatar

WP c’est pour les Moldus&nbsp;:p

votre avatar

Tout dépends du temps disponible; de la taille du projet et des ressources allouées.&nbsp;C’est sur qu’une calculette de crédit immobilier ou une base documentaire en 1 an avec 10 personnes dessus c’est plus facile.&nbsp;Maintenant un dev isolé, avec un projet balèze et peu de temps devra faire avec sera forcément obligé de considérer l’une ou l’autres des solutions.



Je ne critique aucunement l’une ou l’autre des méthode, je dis qu’il faut remettre en perspective avec les données du problèmes des cas évoqués. Chacun a dit, “moi ca marche”, “moi; ça; jamais”

&nbsp;

&nbsp;Je rejoins Lyaume la dessus. La critique est facile mais la preuve est déjà plus rare, et l’alternative encore plus.&nbsp;

Quid de la Cand… grandeur du monde libre ?

&nbsp;

C’est toujours plus facile de tirer sur les gros. Un peu comme dire que M$ fait de la merde globalement alors que le problème n’est que sur 1 produit.



&nbsp;

votre avatar

J’ai jamais dit que tu pouvais pas faire de gros projets sans CMS, juste que c’était compliqué…. Surtout qu’au vu de ton message c’est aussi sans framework…. du coup tu te heurtes nécessairement aux faiblesses structurelles de php.



De ce que tu dis, je ne suis pas certain que PHP soit le meilleur choix du coup….



Et ça n’enlève absolument rien à ce que j’ai dit sur le procédural : j’attends de voir un gros projet codé en procédural qui ne soit pas une usine à gaz…. après plus de 10 ans de dev en pro (sur plusieurs techno, avec de multiples CMS, plus de 150 sites, etc…) ça reste du domaine de l’hypothèse….



Edit : et au passage tu as bien plus de chance d’avoir une faille sur ton projet avec du code perso qu’avec un code éprouvé… et tu te fais éparpiller au tribunal pareil.

votre avatar

Bah des solutions y en a 100000….



Wordpress c’est le plus connu et le plus utilisé, c’est tout. En soit c’est un très bon produit pour une utilisation très basique. Mais c’est un gruyère dégueulasse et tous les modules que les utilisateurs rajoutent (parce que le core de WP est relativement faible en terme de fonctionnalité) n’arrangent rien…



Le gros problème de WP, au-delà de sa conception, c’est surtout que c’est le plus utilisé. Du coup il se reconnait facilement et comme les failles sont connues bah….

votre avatar







Altair31 a écrit :



+1



Selon moi WP, Joomla et autre Drupal doivent rester pour des sites à très faibles budgets (sites perso ou associatifs).

Pour tout le reste, c’est plus sûr de repartir from scratch voire d’utiliser un CMS maison.







Lol, juste lol….


votre avatar







TexMex a écrit :



Tout dépends du temps disponible; de la taille du projet et des ressources allouées.&nbsp;C’est sur qu’une calculette de crédit immobilier ou une base documentaire en 1 an avec 10 personnes dessus c’est plus facile.&nbsp;Maintenant un dev isolé, avec un projet balèze et peu de temps devra faire avec sera forcément obligé de considérer l’une ou l’autres des solutions.



Je ne critique aucunement l’une ou l’autre des méthode, je dis qu’il faut remettre en perspective avec les données du problèmes des cas évoqués. Chacun a dit, “moi ca marche”, “moi; ça; jamais”

&nbsp;

&nbsp;Je rejoins Lyaume la dessus. La critique est facile mais la preuve est déjà plus rare, et l’alternative encore plus.&nbsp;

Quid de la Cand… grandeur du monde libre ?

&nbsp;

C’est toujours plus facile de tirer sur les gros. Un peu comme dire que M$ fait de la merde globalement alors que le problème n’est que sur 1 produit.



&nbsp;





On est d’accord. Loin de moi l’idée de vouloir imposer notre stratégie. On discute, et c’est bien :)



Par contre pour le libre, on est en plein dedans on est dans un univers Linux (debian), Php, MariaDB, Apache. Et grâce à tout cela, on fait vivre notre petite entreprise et des emplois :)

&nbsp;



Fuinril a écrit :



J’ai jamais dit que tu pouvais pas faire de gros projets sans CMS, juste que c’était compliqué…. Surtout qu’au vu de ton message c’est aussi sans framework…. du coup tu te heurtes nécessairement aux faiblesses structurelles de php.



De ce que tu dis, je ne suis pas certain que PHP soit le meilleur choix du coup….



Et ça n’enlève absolument rien à ce que j’ai dit sur le procédural : j’attends de voir un gros projet codé en procédural qui ne soit pas une usine à gaz…. après plus de 10 ans de dev en pro (sur plusieurs techno, avec de multiples CMS, plus de 150 sites, etc…) ça reste du domaine de l’hypothèse….



Edit : et au passage tu as bien plus de chance d’avoir une faille sur ton projet avec du code perso qu’avec un code éprouvé… et tu te fais éparpiller au tribunal pareil.





C’est un éternel débat entre dev, je le vis depuis que j’ai fais ma première ligne de “code” en 1981 sur un ZX-81.



Juste pour un troll en demie-molle, facebook est, ou pour être honnête l’a été avec certitude, codé sur/avec du PHP. Ça me parait être un gros projet. Et pour en avoir discuter avec un ingé français de chez Zend (qui dev PHP), il m’a expliqué comment des SaaS monstrueux sont fait en php. C’est d’ailleurs, d’après ce que j’ai compris Zend qui est le fournisseur des solutions.



L’idéal est de trouver, pour son entreprise, un matériaux de travail qui lui sied et qui lui permet de répondre aux besoins des ses clients.



Pour le tribunal, j’y suis jamais allé pour ça, et je préfère y aller avec tout le code fait en interne que ““soustraiter”” à des tiers via un CMS. Là encore, je préfère finalement ne jamais en avoir la réponse&nbsp;<img data-src=" />


votre avatar

C’est clair !



En fait je pense que WP et ses add-ons font la course avec La Daube Flash pour voir lequel réussira à comptabiliser le plus de failles. <img data-src=" />

votre avatar







boogieplayer a écrit :



C’est un éternel débat entre dev, je le vis depuis que j’ai fais ma première ligne de “code” en 1981 sur un ZX-81.



Juste pour un troll en demie-molle, facebook est, ou pour être honnête l’a été avec certitude, codé sur/avec du PHP. Ça me parait être un gros projet. Et pour en avoir discuter avec un ingé français de chez Zend (qui dev PHP), il m’a expliqué comment des SaaS monstrueux sont fait en php. C’est d’ailleurs, d’après ce que j’ai compris Zend qui est le fournisseur des solutions.



L’idéal est de trouver, pour son entreprise, un matériaux de travail qui lui sied et qui lui permet de répondre aux besoins des ses clients.



Pour le tribunal, j’y suis jamais allé pour ça, et je préfère y aller avec tout le code fait en interne que ““soustraiter”” à des tiers via un CMS. Là encore, je préfère finalement ne jamais en avoir la réponse <img data-src=" />







Ok. Pigé. Gros problème des dev PHP pré PHP5… Faut se mettre à la page hein…



En procédural j’ai de forts doutes sur le fait que tu fasse de gros projets maintenables dans le temps … C’est comme le JAVA sans SPRING ou sans Doctrine… Et je ne dis pas que ce n’est pas faisable, juste que ça sera moins bien (tant en sécurité qu’en perfs) et que les dev qui vont passer après vont se les bouffer un truc sévère, généralement au point de tout refaire





Beaucoup de non-sens dans ce que tu dis. Déjà Facebook…. oui effectivement quand tu t’appelles facebook tu fais ton propre framework, tu as les moyens et les compétences pour. D’ailleurs tu te contentes pas de ça : tu trouves PHP trop lent et trop peu typé pour faire une appli dont la propreté est à la hauteur du projet, du coup tu continues à faire du PHP mais du PHP compilé (dans l’idée) :en.wikipedia.org WikipediaPareil pour Zend, bien sûr que de très très gros SaaS sont fait en PHP… avec des libs codées spécifiquement pour… Pour les autres, pour ce genre de projets, rien que le non support de l’unicode c’est un vrai problème….



Mais toutes les boîtes ne sont pas Zend ou Facebook, pour 99.99% d’entre elles le choix d’un framework / CMS adapté répondra à la fois mieux aux besoins et sera plus sécurisé que du dev from scratch.





Pour recoller au sujet (et à notre principal point de discordance) il suffit de constater que WP est le dernier gros CMS codé en procédural et qu’il cumule les failles de sécurité, quand en face on peut aligner les (très) gros CMS (eZPublish, Magento, Drupal, etc…) ou frameworks (Symfony, Zend…) utilisés par moultes boîtes qui tournent sans aucun soucis ou presque…


votre avatar







Fuinril a écrit :



Ok. Pigé. Gros problème des dev PHP pré PHP5… Faut se mettre à la page hein…



En procédural j’ai de forts doutes sur le fait que tu fasse de gros projets maintenables dans le temps … C’est comme le JAVA sans SPRING ou sans Doctrine… Et je ne dis pas que ce n’est pas faisable, juste que ça sera moins bien (tant en sécurité qu’en perfs) et que les dev qui vont passer après vont se les bouffer un truc sévère, généralement au point de tout refaire





Beaucoup de non-sens dans ce que tu dis. Déjà Facebook…. oui effectivement quand tu t’appelles facebook tu fais ton propre framework, tu as les moyens et les compétences pour. D’ailleurs tu te contentes pas de ça : tu trouves PHP trop lent et trop peu typé pour faire une appli dont la propreté est à la hauteur du projet, du coup tu continues à faire du PHP mais du PHP compilé (dans l’idée) :en.wikipedia.org WikipediaPareil pour Zend, bien sûr que de très très gros SaaS sont fait en PHP… avec des libs codées spécifiquement pour… Pour les autres, pour ce genre de projets, rien que le non support de l’unicode c’est un vrai problème….



Mais toutes les boîtes ne sont pas Zend ou Facebook, pour 99.99% d’entre elles le choix d’un framework / CMS adapté répondra à la fois mieux aux besoins et sera plus sécurisé que du dev from scratch.





Pour recoller au sujet (et à notre principal point de discordance) il suffit de constater que WP est le dernier gros CMS codé en procédural et qu’il cumule les failles de sécurité, quand en face on peut aligner les (très) gros CMS (eZPublish, Magento, Drupal, etc…) ou frameworks (Symfony, Zend…) utilisés par moultes boîtes qui tournent sans aucun soucis ou presque…





Inutile d’être condescendant aussi. Ton “faut se mettre à la page” est déjà commenté ce matin au sein des devs ici. Ce qui a fait le plus rire c’est le “pré php5”. Bref.&nbsp;Quand au reste de ton explication, c’est ton opinion, tout à fait respectable du reste, mais qui reste orientée selon ton expérience, ce qui est normal.



Mon métier c’est de gérer une entreprise, et gérer une équipe de devs, ce qui est déjà beaucoup je trouve.


votre avatar

Ce n’est pas condescendant, c’est un problème qu’ont beaucoup de “vieux” dev PHP et qui du reste est parfaitement compréhensible.



Pré-PHP5 PHP était surtout un langage de script, et dans ce contexte tout ce que tu as écrit se tient (quelque soit la taille de ta structure).



Post-PHP5 c’est devenu un “vrai” langage de programmation mais beaucoup de dev ayant la plus grande part de leur expérience avant ont eu beaucoup de mal à se mettre à la page. J’ai d’ailleurs eu beaucoup de critiques de devs d’autres techno comme quoi “PHP c’est pas du dev et les gens qui ont font sont plus des webmasters que des devs” (surtout quand j’ai changé de techno).



Ce n’est peut être pas ton cas, notamment si tu es dans une structure assez importante pour avoir des équipes avec les moyens de faire du from scratch propre. Mais comme c’est très loin d’être la majorité et que la réponse la plus simple est souvent la meilleure, j’ai répondu comme si tu étais dans ce cas là. Mes excuses si c’est ça.

votre avatar







Fuinril a écrit :



Ce n’est pas condescendant, c’est un problème qu’ont beaucoup de “vieux” dev PHP et qui du reste est parfaitement compréhensible.



Pré-PHP5 PHP était surtout un langage de script, et dans ce contexte tout ce que tu as écrit se tient (quelque soit la taille de ta structure).



Post-PHP5 c’est devenu un “vrai” langage de programmation mais beaucoup de dev ayant la plus grande part de leur expérience avant ont eu beaucoup de mal à se mettre à la page. J’ai d’ailleurs eu beaucoup de critiques de devs d’autres techno comme quoi “PHP c’est pas du dev et les gens qui ont font sont plus des webmasters que des devs” (surtout quand j’ai changé de techno).



Ce n’est peut être pas ton cas, notamment si tu es dans une structure assez importante pour avoir des équipes avec les moyens de faire du from scratch propre. Mais comme c’est très loin d’être la majorité et que la réponse la plus simple est souvent la meilleure, j’ai répondu comme si tu étais dans ce cas là. Mes excuses si c’est ça.





D’ailleurs j’invite tout le monde à attendre un peu encore avant de passer de php5 à php6 (<img data-src=" />) php7



Pas de prob derrière un écran tu ne peux pas savoir. Et pis je suis pas un vieux dev&nbsp;&nbsp;J’ai juste un peu de bouteille !&nbsp;<img data-src=" />


WordPress : une brèche dans WP Mobile Detector à colmater rapidement

  • Un nombre croissant de sites contaminés

  • La mise à jour est disponible

  • Une sécurité à entretenir

Fermer