En octobre 2016, la société White Fir Design relevait la présence d'une porte dans 14 plugins pour WordPress, permettant l'exécution de code à distance… depuis au moins 2014.
Ces extensions ont été désactivées au sein du dépôt officiel de WordPress, qui présente depuis peu une page pour ces outils abandonnés. Bleeping Computer relève qu'à fin décembre 2017, des centaines de sites disposent toujours de ces plugins vérolés, jusqu'à plus de 500 pour page-google-maps ou wp-handy-lightbox.
Pour nos confrères, il s'agit surtout de sites abandonnés, pour lesquels les responsables ont perdu tout intérêt. Il y a quelques jours, il a été découvert qu'un plugin installé sur 300 000 sites ouvrait leurs portes. L'équipe de WordPress avait pris sur elle de revenir à une version sans le code incriminé, en attendant une éventuelle réaction du concepteur.
Commentaires (6)
#1
“outils abandonnés”
Quand on a besoin de ces outils, on fait quoi ?
#2
Abandonnés : qui ne sont plus mis à jour, et ici qui sont vérolés. Tu trouves donc un autre plugin ou tu arrêtes si tu tiens à la sécurité de ton serveur.
#3
Faut-il en conclure que beaucoup ne tiennent pas à la sécurité de leur serveur ?
#4
Pour ça, le plugin Wordfence est excellent : quand un des autres plugins du site n’est plus maintenu depuis deux ans, il envoie une alerte à l’admin du site.
#5
Oui. Beaucoup n’en n’ont même pas conscience. Un peu comme ceux qui restent sur Windows XP “parce que ça marche”.
#6
La plupart des gens ne sont pas au courant des risques encourus.