Les failles de 2 célèbres plugins WordPress mettent en danger des millions de sites

Par
UnderNews
-
0
154

WordPress (WP) est l’un des systèmes de gestion de contenu (CMS) les plus populaires de la planète en raison de sa facilité d’utilisation. En fait, la majorités des plus gros sites Internet de part le monde sont actuellement propulsé par WordPress! Il existe une immense palette de thèmes et de plugins qui permettent aux développeurs de créer facilement des sites. Mais ils sont aussi de nombreuses portes d’entrées pour les pirates informatique en cas de vulnérabilité…

Elementor Pro est un plugin développé et distribué par un concepteur de thèmes payants qui permet aux utilisateurs d’ajouter des modules et de personnaliser leur site à l’aide d’un constructeur par glisser-déposer. Preuve de sa popularité, il compte actuellement plus d’un million d’installations actives. Cependant, récemment, il s’est avéré vulnérable à une faille pouvant être exploitée à distance par des attaquants pour télécharger des fichiers arbitraires entraînant l’exécution de code non autorisé sur le serveur où les sites sont installés, ce qui peut être très dangereux.

À titre d’exemple, considérons que les portes dérobées et les WebShells peuvent être installés de cette manière, ce qui peut permettre à un attaquant de créer un chemin d’accès répété à distance (backdoor) pour accéder aux parties critiques du site telles que le système de fichiers puis la base de données. Cela leur permettrait donc de supprimer les données du site ou bien de dérober l’intégralité de la base de données. La seule condition est que l’attaquant doit être un utilisateur enregistré du site WordPress en question pour que cet exploit fonctionne.

Néanmoins, si cette condition préalable ne peut pas être remplie pour une raison quelconque, il existe un autre plugin appelé Ultimate Addons for Elementor qui, via une vulnérabilité dans ses versions 1.24.1 et ci-dessous, permet à quelqu’un d’attaquer le plugin principal Elementor Pro sans aucun enregistrement d’utilisateur autorisé par l’administrateur.

Pour élaborer un peu, WordPress a différents rôles d’utilisateur, dont l’un est abonné. Pour vous inscrire en tant qu’abonné, dans ce cas, aucune autorisation de l’administrateur du site ne permet à l’attaquant de le faire lui-même et donc d’exploiter les vulnérabilités présentes.

Heureusement, ces failles sont aujourd’hui corrigées. Selon l’une des principales sociétés de plugins de sécurité de l’industrie WP, WordFence, des directives ont été publiées indiquant qu’une mise à jour de la dernière version d’Elementor Pro aidera à sécuriser votre site, et que Elementor Pro a publié un correctif le 7 mai. Les autres mesures de précaution recommandées par l’entreprise sont les suivantes :

  • Suppression active des utilisateurs de niveau abonné qui se sont inscrits sur votre site sans votre autorisation, car cela peut être un indicateur de compromission
  • Recherchez un fichier nommé « wp-xmlrpc.php », car il s’agit également potentiellement d’un point d’entrée et doit être supprimé
  • Vérifiez le dossier /wp-content/uploads/elementor/custom-icons/directory dans votre gestionnaire de fichiers pour vous assurer qu’aucun fichier non autorisé ou inconnu n’est trouvé ici que l’attaquant peut avoir téléchargé pour mener son attaque.

Pour conclure, il est également important que vous installiez un plugin de sécurité sur votre site, WordFence ou Sucuri fonctionnent tous les deux et peuvent activement analyser votre site pour détecter toute menace de malware tout en renforçant votre site en mettant en œuvre des mesures telles que la restriction de la connexion directe téléchargement de tous les fichiers basés sur PHP.

De plus, vous devez également effectuer des sauvegardes régulières de votre site, manuellement ou via un plugin pour vous assurer que la restauration de votre site est toujours possible au cas où vous trouveriez vos données supprimées.