Connexion
Abonnez-vous

Un plugin WordPress vérolé a ouvert les portes de plus de 300 000 sites

Un plugin WordPress vérolé a ouvert les portes de plus de 300 000 sites

Le 21 décembre 2017 à 09h34

L'un des intérêts de WordPress est qu'il suffit de télécharger des plugins pour ajouter rapidement des fonctionnalités à son site. Une simplicité apparente qui peut aussi être source de vulnérabilités.

C'est ce qui s'est passé pour les utilisateurs d'un plugin ajoutant un captcha. L'entreprise qui le maintenait a vendu ce produit à une autre société, qui y a discrètement ajouté une porte dérobée. Plus de 300 000 sites utilisent cet outil et sont donc concernés par cette brèche, estime The Hacker News.

Le plugin, ainsi que quelques autres publiés par le même auteur et présentant la même porte dérobée, ont été supprimés de la boutique d'éléments de WordPress.

Le 21 décembre 2017 à 09h34

Commentaires (8)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Ça ne serait pas du luxe de fournir le nom du plug-in, non? Wordpress doit être utilisé par certains de vos lecteurs, quand même.

votre avatar







Freud a écrit :



Ça ne serait pas du luxe de fournir le nom du plug-in, non? Wordpress doit être utilisé par certains de vos lecteurs, quand même.



Suffit d’aller voir la source : il s’agit de Captcha.


votre avatar

Il s’agit de cette extension :https://fr.wordpress.org/plugins/captcha/



Et il se trouve que c’est précisément celle-là qui est installée sur un de mes sites… Dans ce cas, il faut veiller à bien posséder la version 4.4.5 qui a été patchée afin d’en retirer la faille. Et de migrer sur une autre extension au plus vite !

votre avatar

Cela fait des années que les gens de WP sont au courant de ce défaut dans leur CMS et refusent officiellement d’y faire quelque-chose.



Quand un plugin est retiré du repo pour faute,




  • il n’est pas retiré des blogs wordpress où il est installé (compréhensible pour une question de principe, et si c’était un plugin sans lequel un site cesse de fonctionner), et

  • les admins ne sont pas prévenus qu’un composant de leur blog a été pris en faute au point d’être viré du repo (intolérable et impardonnable, la dernière discu que j’aie vu sur le sujet, ça a achoppé sur un “ouais c’est vrai faudrait dire mais on fait quon quand c’est un tech qui installe un site pour des clients, on prévient qui, heu, chaispasfautvoir”).



    Je suis aussi très réservé pour le sort des plugins obsolètes et/ou abandonnés. Je veux bien qu’un bloc de code vieux de 5, 7 ans, est toujours valide en théorie, mais si WP retire les plugins sans MAJ depuis deux ans de leur repo, on pourrait espérer une sorte de notif dans l’interface d’administration du blog tout de même quand on a ce plugin nous-mêmes, pour choisir si on veut trouver un équivalent encore maintenu.

votre avatar

Grand grand classique les extensions wordpress vérolées, quand il ne s’agit pas des thèmes eux-même.

votre avatar

Vous dever inperattivemant validé votre passe sécuriter…. Je comprends mieux les dizaines de mails que e reçois par semaine.<img data-src=" />

votre avatar







Sabinoo a écrit :



&nbsp;les gens de WP sont au courant de ce défaut





Tu peut pas faire grand chose sous wordpress sans une flopée de plugins… Le choix du plugin doit être réfléchi pour éviter de ce retrouver avec des trucs plus à jours et de changer l’architecture. Certains truc assez simple devrait être intégrés nativement comme par exemple la gestion de plusieurs langue ou la régénération des images car c’est typiquement le truc horrible à débuger et pas franchement souple à modifier. Par contre si demain wordpress intègre ça nativement alors ceux qui vivaient de ces plugins vont clairement faire la tronche.


votre avatar

C’est a ça que sert la veille et la maintenance que tu vends a tes clients, si c’est pour un site perso, suffit de mettre a jour généralement, et rare sont les sites hacké sans savoir pourquoi.

&nbsp;

Perso je manage mes sites clients depuis un soft pour maj tous les plugins et avoir des rapports en cas de plugins/themes vérolés, et puis il faut aussi suivre les rss des sites qui répertorient les failles, depuis 2 ans que je fais ça, je n’ai eu aucun site piraté sur tous les clients qui ont décidé de faire confiance. par contre, ceux qui n’ont pas voulu de maintenance, et bien il change d’avis au premier piratage de leur site qu’ils n’ont pas pris la peine de mettre a jour.

Un plugin WordPress vérolé a ouvert les portes de plus de 300 000 sites

Fermer