WordPress : des centaines de sites utilisent toujours de vieux plugins vérolés
Le 08 janvier 2018 à 10h20
1 min
Logiciel
Logiciel
En octobre 2016, la société White Fir Design relevait la présence d'une porte dans 14 plugins pour WordPress, permettant l'exécution de code à distance… depuis au moins 2014.
Ces extensions ont été désactivées au sein du dépôt officiel de WordPress, qui présente depuis peu une page pour ces outils abandonnés. Bleeping Computer relève qu'à fin décembre 2017, des centaines de sites disposent toujours de ces plugins vérolés, jusqu'à plus de 500 pour page-google-maps
ou wp-handy-lightbox
.
Pour nos confrères, il s'agit surtout de sites abandonnés, pour lesquels les responsables ont perdu tout intérêt. Il y a quelques jours, il a été découvert qu'un plugin installé sur 300 000 sites ouvrait leurs portes. L'équipe de WordPress avait pris sur elle de revenir à une version sans le code incriminé, en attendant une éventuelle réaction du concepteur.
Le 08 janvier 2018 à 10h20
Commentaires (6)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 08/01/2018 à 11h23
“outils abandonnés”
Quand on a besoin de ces outils, on fait quoi ?
Le 08/01/2018 à 12h55
Abandonnés : qui ne sont plus mis à jour, et ici qui sont vérolés. Tu trouves donc un autre plugin ou tu arrêtes si tu tiens à la sécurité de ton serveur.
Le 08/01/2018 à 13h08
Faut-il en conclure que beaucoup ne tiennent pas à la sécurité de leur serveur ?
Le 08/01/2018 à 16h19
Pour ça, le plugin Wordfence est excellent : quand un des autres plugins du site n’est plus maintenu depuis deux ans, il envoie une alerte à l’admin du site.
Le 08/01/2018 à 17h13
Oui. Beaucoup n’en n’ont même pas conscience. Un peu comme ceux qui restent sur Windows XP “parce que ça marche”.
Le 08/01/2018 à 22h06
La plupart des gens ne sont pas au courant des risques encourus.