L'un des intérêts de WordPress est qu'il suffit de télécharger des plugins pour ajouter rapidement des fonctionnalités à son site. Une simplicité apparente qui peut aussi être source de vulnérabilités.
C'est ce qui s'est passé pour les utilisateurs d'un plugin ajoutant un captcha. L'entreprise qui le maintenait a vendu ce produit à une autre société, qui y a discrètement ajouté une porte dérobée. Plus de 300 000 sites utilisent cet outil et sont donc concernés par cette brèche, estime The Hacker News.
Le plugin, ainsi que quelques autres publiés par le même auteur et présentant la même porte dérobée, ont été supprimés de la boutique d'éléments de WordPress.
Commentaires (8)
#1
Ça ne serait pas du luxe de fournir le nom du plug-in, non? Wordpress doit être utilisé par certains de vos lecteurs, quand même.
#2
#3
Il s’agit de cette extension :https://fr.wordpress.org/plugins/captcha/
Et il se trouve que c’est précisément celle-là qui est installée sur un de mes sites… Dans ce cas, il faut veiller à bien posséder la version 4.4.5 qui a été patchée afin d’en retirer la faille. Et de migrer sur une autre extension au plus vite !
#4
Cela fait des années que les gens de WP sont au courant de ce défaut dans leur CMS et refusent officiellement d’y faire quelque-chose.
Quand un plugin est retiré du repo pour faute,
Je suis aussi très réservé pour le sort des plugins obsolètes et/ou abandonnés. Je veux bien qu’un bloc de code vieux de 5, 7 ans, est toujours valide en théorie, mais si WP retire les plugins sans MAJ depuis deux ans de leur repo, on pourrait espérer une sorte de notif dans l’interface d’administration du blog tout de même quand on a ce plugin nous-mêmes, pour choisir si on veut trouver un équivalent encore maintenu.
#5
Grand grand classique les extensions wordpress vérolées, quand il ne s’agit pas des thèmes eux-même.
#6
Vous dever inperattivemant validé votre passe sécuriter…. Je comprends mieux les dizaines de mails que e reçois par semaine." />
#7
#8
C’est a ça que sert la veille et la maintenance que tu vends a tes clients, si c’est pour un site perso, suffit de mettre a jour généralement, et rare sont les sites hacké sans savoir pourquoi.
Perso je manage mes sites clients depuis un soft pour maj tous les plugins et avoir des rapports en cas de plugins/themes vérolés, et puis il faut aussi suivre les rss des sites qui répertorient les failles, depuis 2 ans que je fais ça, je n’ai eu aucun site piraté sur tous les clients qui ont décidé de faire confiance. par contre, ceux qui n’ont pas voulu de maintenance, et bien il change d’avis au premier piratage de leur site qu’ils n’ont pas pris la peine de mettre a jour.