Abonnez-vous Connexion

Abonnez-vous

Nous suivre

À propos

Next, média indépendant, est soutenu par la société moji.

Elle lui assure une pérennité économique et lui permet de maintenir sa totale liberté éditoriale, d'expérimenter de nouvelles formes d'information et de garantir sa survie à long terme, sans dépendre d'annonceurs externes.

Un plugin WordPress vérolé a ouvert les portes de plus de 300 000 sites

Par Sébastien Gavois

Le 21 Décembre 2017 à 09h34

1 min 8

L'un des intérêts de WordPress est qu'il suffit de télécharger des plugins pour ajouter rapidement des fonctionnalités à son site. Une simplicité apparente qui peut aussi être source de vulnérabilités.

C'est ce qui s'est passé pour les utilisateurs d'un plugin ajoutant un captcha. L'entreprise qui le maintenait a vendu ce produit à une autre société, qui y a discrètement ajouté une porte dérobée. Plus de 300 000 sites utilisent cet outil et sont donc concernés par cette brèche, estime The Hacker News.

Le plugin, ainsi que quelques autres publiés par le même auteur et présentant la même porte dérobée, ont été supprimés de la boutique d'éléments de WordPress.

Un drapeau américain flotte dans un ciel gris.

La pression américaine monte encore d’un cran contre le chinois Huawei

Deux requins étiquetés par portions avec les marques des entreprises d'IA génératives nagent dans l'océan

OpenAI a détruit les jeux de données de livres sur lesquels elle a entrainé ses premiers modèles

L’histoire du BASIC, lancé il y a plus de 60 ans

Plus de 170 000 Français victimes d’un réseau de faux sites marchands chinois

Fuite de données clients chez Dell

Le créateur du rançongiciel LockBit serait un Russe de 31 ans

Google lance son Pixel 8a, à 549 euros

Granite : IBM lance son pavé dans la mare des modèles de langage pour la génération de code

Stack Overflow signe avec OpenAI

La RATP expérimente sa vidéosurveillance algorithmique pour les concerts de Taylor Swift

Commentaires (8)

Freud

Le 21/12/2017 à 09h45

Ça ne serait pas du luxe de fournir le nom du plug-in, non? Wordpress doit être utilisé par certains de vos lecteurs, quand même.

Patch Abonné

Le 21/12/2017 à 09h51

Freud a écrit :

Ça ne serait pas du luxe de fournir le nom du plug-in, non? Wordpress doit être utilisé par certains de vos lecteurs, quand même.

Suffit d’aller voir la source : il s’agit de Captcha.

Vekin

Le 21/12/2017 à 09h51

Il s’agit de cette extension :https://fr.wordpress.org/plugins/captcha/

Et il se trouve que c’est précisément celle-là qui est installée sur un de mes sites… Dans ce cas, il faut veiller à bien posséder la version 4.4.5 qui a été patchée afin d’en retirer la faille. Et de migrer sur une autre extension au plus vite !

Sabinoo

Le 21/12/2017 à 11h05

Cela fait des années que les gens de WP sont au courant de ce défaut dans leur CMS et refusent officiellement d’y faire quelque-chose.

Quand un plugin est retiré du repo pour faute,

il n’est pas retiré des blogs wordpress où il est installé (compréhensible pour une question de principe, et si c’était un plugin sans lequel un site cesse de fonctionner), et

les admins ne sont pas prévenus qu’un composant de leur blog a été pris en faute au point d’être viré du repo (intolérable et impardonnable, la dernière discu que j’aie vu sur le sujet, ça a achoppé sur un “ouais c’est vrai faudrait dire mais on fait quon quand c’est un tech qui installe un site pour des clients, on prévient qui, heu, chaispasfautvoir”).

Je suis aussi très réservé pour le sort des plugins obsolètes et/ou abandonnés. Je veux bien qu’un bloc de code vieux de 5, 7 ans, est toujours valide en théorie, mais si WP retire les plugins sans MAJ depuis deux ans de leur repo, on pourrait espérer une sorte de notif dans l’interface d’administration du blog tout de même quand on a ce plugin nous-mêmes, pour choisir si on veut trouver un équivalent encore maintenu.

Obidoub

Le 21/12/2017 à 12h38

Grand grand classique les extensions wordpress vérolées, quand il ne s’agit pas des thèmes eux-même.

Ricard

Le 21/12/2017 à 13h59

Vous dever inperattivemant validé votre passe sécuriter…. Je comprends mieux les dizaines de mails que e reçois par semaine." />

skankhunt42

Le 21/12/2017 à 15h55

Sabinoo a écrit :

 les gens de WP sont au courant de ce défaut

Tu peut pas faire grand chose sous wordpress sans une flopée de plugins… Le choix du plugin doit être réfléchi pour éviter de ce retrouver avec des trucs plus à jours et de changer l’architecture. Certains truc assez simple devrait être intégrés nativement comme par exemple la gestion de plusieurs langue ou la régénération des images car c’est typiquement le truc horrible à débuger et pas franchement souple à modifier. Par contre si demain wordpress intègre ça nativement alors ceux qui vivaient de ces plugins vont clairement faire la tronche.

aigleblanc

Le 22/12/2017 à 15h04

C’est a ça que sert la veille et la maintenance que tu vends a tes clients, si c’est pour un site perso, suffit de mettre a jour généralement, et rare sont les sites hacké sans savoir pourquoi.

 

Perso je manage mes sites clients depuis un soft pour maj tous les plugins et avoir des rapports en cas de plugins/themes vérolés, et puis il faut aussi suivre les rss des sites qui répertorient les failles, depuis 2 ans que je fais ça, je n’ai eu aucun site piraté sur tous les clients qui ont décidé de faire confiance. par contre, ceux qui n’ont pas voulu de maintenance, et bien il change d’avis au premier piratage de leur site qu’ils n’ont pas pris la peine de mettre a jour.

Fermer

❮

❯