Un plugin WordPress vérolé a ouvert les portes de plus de 300 000 sites
Le 21 décembre 2017 à 09h34
1 min
Internet
Internet
L'un des intérêts de WordPress est qu'il suffit de télécharger des plugins pour ajouter rapidement des fonctionnalités à son site. Une simplicité apparente qui peut aussi être source de vulnérabilités.
C'est ce qui s'est passé pour les utilisateurs d'un plugin ajoutant un captcha. L'entreprise qui le maintenait a vendu ce produit à une autre société, qui y a discrètement ajouté une porte dérobée. Plus de 300 000 sites utilisent cet outil et sont donc concernés par cette brèche, estime The Hacker News.
Le plugin, ainsi que quelques autres publiés par le même auteur et présentant la même porte dérobée, ont été supprimés de la boutique d'éléments de WordPress.
Le 21 décembre 2017 à 09h34
Commentaires (8)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 21/12/2017 à 09h45
Ça ne serait pas du luxe de fournir le nom du plug-in, non? Wordpress doit être utilisé par certains de vos lecteurs, quand même.
Le 21/12/2017 à 09h51
Le 21/12/2017 à 09h51
Il s’agit de cette extension :https://fr.wordpress.org/plugins/captcha/
Et il se trouve que c’est précisément celle-là qui est installée sur un de mes sites… Dans ce cas, il faut veiller à bien posséder la version 4.4.5 qui a été patchée afin d’en retirer la faille. Et de migrer sur une autre extension au plus vite !
Le 21/12/2017 à 11h05
Cela fait des années que les gens de WP sont au courant de ce défaut dans leur CMS et refusent officiellement d’y faire quelque-chose.
Quand un plugin est retiré du repo pour faute,
Je suis aussi très réservé pour le sort des plugins obsolètes et/ou abandonnés. Je veux bien qu’un bloc de code vieux de 5, 7 ans, est toujours valide en théorie, mais si WP retire les plugins sans MAJ depuis deux ans de leur repo, on pourrait espérer une sorte de notif dans l’interface d’administration du blog tout de même quand on a ce plugin nous-mêmes, pour choisir si on veut trouver un équivalent encore maintenu.
Le 21/12/2017 à 12h38
Grand grand classique les extensions wordpress vérolées, quand il ne s’agit pas des thèmes eux-même.
Le 21/12/2017 à 13h59
Vous dever inperattivemant validé votre passe sécuriter…. Je comprends mieux les dizaines de mails que e reçois par semaine." />
Le 21/12/2017 à 15h55
Le 22/12/2017 à 15h04
C’est a ça que sert la veille et la maintenance que tu vends a tes clients, si c’est pour un site perso, suffit de mettre a jour généralement, et rare sont les sites hacké sans savoir pourquoi.
Perso je manage mes sites clients depuis un soft pour maj tous les plugins et avoir des rapports en cas de plugins/themes vérolés, et puis il faut aussi suivre les rss des sites qui répertorient les failles, depuis 2 ans que je fais ça, je n’ai eu aucun site piraté sur tous les clients qui ont décidé de faire confiance. par contre, ceux qui n’ont pas voulu de maintenance, et bien il change d’avis au premier piratage de leur site qu’ils n’ont pas pris la peine de mettre a jour.