Connexion
Abonnez-vous

WordPress : des centaines de sites utilisent toujours de vieux plugins vérolés

WordPress : des centaines de sites utilisent toujours de vieux plugins vérolés

Le 08 janvier 2018 à 10h20

En octobre 2016, la société White Fir Design relevait la présence d'une porte dans 14 plugins pour WordPress, permettant l'exécution de code à distance… depuis au moins 2014.

Ces extensions ont été désactivées au sein du dépôt officiel de WordPress, qui présente depuis peu une page pour ces outils abandonnés. Bleeping Computer relève qu'à fin décembre 2017, des centaines de sites disposent toujours de ces plugins vérolés, jusqu'à plus de 500 pour page-google-maps ou wp-handy-lightbox.

Pour nos confrères, il s'agit surtout de sites abandonnés, pour lesquels les responsables ont perdu tout intérêt. Il y a quelques jours, il a été découvert qu'un plugin installé sur 300 000 sites ouvrait leurs portes. L'équipe de WordPress avait pris sur elle de revenir à une version sans le code incriminé, en attendant une éventuelle réaction du concepteur.

Le 08 janvier 2018 à 10h20

Commentaires (6)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

“outils abandonnés”

Quand on a besoin de ces outils, on fait quoi ?

votre avatar

Abandonnés : qui ne sont plus mis à jour, et ici qui sont vérolés. Tu trouves donc un autre plugin ou tu arrêtes si tu tiens à la sécurité de ton serveur.

votre avatar

Faut-il en conclure que beaucoup ne tiennent pas à la sécurité de leur serveur ?

votre avatar

Pour ça, le plugin Wordfence est excellent : quand un des autres plugins du site n’est plus maintenu depuis deux ans, il envoie une alerte à l’admin du site.

votre avatar

Oui. Beaucoup n’en n’ont même pas conscience. Un peu comme ceux qui restent sur Windows XP “parce que ça marche”.

votre avatar

La plupart des gens ne sont pas au courant des risques encourus.

WordPress : des centaines de sites utilisent toujours de vieux plugins vérolés

Fermer