lundi 10 août 2020
Promotion Meilleur VPN 2020
Accueil Alertes Les failles de 2 célèbres plugins WordPress mettent en danger des millions...

Les failles de 2 célèbres plugins WordPress mettent en danger des millions de sites

WordPress (WP) est l’un des systèmes de gestion de contenu (CMS) les plus populaires de la planète en raison de sa facilité d’utilisation. En fait, la majorités des plus gros sites Internet de part le monde sont actuellement propulsé par WordPress! Il existe une immense palette de thèmes et de plugins qui permettent aux développeurs de créer facilement des sites. Mais ils sont aussi de nombreuses portes d’entrées pour les pirates informatique en cas de vulnérabilité…

Elementor Pro est un plugin développé et distribué par un concepteur de thèmes payants qui permet aux utilisateurs d’ajouter des modules et de personnaliser leur site à l’aide d’un constructeur par glisser-déposer. Preuve de sa popularité, il compte actuellement plus d’un million d’installations actives. Cependant, récemment, il s’est avéré vulnérable à une faille pouvant être exploitée à distance par des attaquants pour télécharger des fichiers arbitraires entraînant l’exécution de code non autorisé sur le serveur où les sites sont installés, ce qui peut être très dangereux.

À titre d’exemple, considérons que les portes dérobées et les WebShells peuvent être installés de cette manière, ce qui peut permettre à un attaquant de créer un chemin d’accès répété à distance (backdoor) pour accéder aux parties critiques du site telles que le système de fichiers puis la base de données. Cela leur permettrait donc de supprimer les données du site ou bien de dérober l’intégralité de la base de données. La seule condition est que l’attaquant doit être un utilisateur enregistré du site WordPress en question pour que cet exploit fonctionne.

Néanmoins, si cette condition préalable ne peut pas être remplie pour une raison quelconque, il existe un autre plugin appelé Ultimate Addons for Elementor qui, via une vulnérabilité dans ses versions 1.24.1 et ci-dessous, permet à quelqu’un d’attaquer le plugin principal Elementor Pro sans aucun enregistrement d’utilisateur autorisé par l’administrateur.

Pour élaborer un peu, WordPress a différents rôles d’utilisateur, dont l’un est abonné. Pour vous inscrire en tant qu’abonné, dans ce cas, aucune autorisation de l’administrateur du site ne permet à l’attaquant de le faire lui-même et donc d’exploiter les vulnérabilités présentes.

Heureusement, ces failles sont aujourd’hui corrigées. Selon l’une des principales sociétés de plugins de sécurité de l’industrie WP, WordFence, des directives ont été publiées indiquant qu’une mise à jour de la dernière version d’Elementor Pro aidera à sécuriser votre site, et que Elementor Pro a publié un correctif le 7 mai. Les autres mesures de précaution recommandées par l’entreprise sont les suivantes :

  • Suppression active des utilisateurs de niveau abonné qui se sont inscrits sur votre site sans votre autorisation, car cela peut être un indicateur de compromission
  • Recherchez un fichier nommé « wp-xmlrpc.php », car il s’agit également potentiellement d’un point d’entrée et doit être supprimé
  • Vérifiez le dossier /wp-content/uploads/elementor/custom-icons/directory dans votre gestionnaire de fichiers pour vous assurer qu’aucun fichier non autorisé ou inconnu n’est trouvé ici que l’attaquant peut avoir téléchargé pour mener son attaque.

Pour conclure, il est également important que vous installiez un plugin de sécurité sur votre site, WordFence ou Sucuri fonctionnent tous les deux et peuvent activement analyser votre site pour détecter toute menace de malware tout en renforçant votre site en mettant en œuvre des mesures telles que la restriction de la connexion directe téléchargement de tous les fichiers basés sur PHP.

De plus, vous devez également effectuer des sauvegardes régulières de votre site, manuellement ou via un plugin pour vous assurer que la restauration de votre site est toujours possible au cas où vous trouveriez vos données supprimées.

UnderNewshttps://www.undernews.fr/
Administrateur et fondateur du site UnderNews

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

- Advertisment -Express VPN

Derniers articles

400 vulnérabilités pourraient transformer 3 milliards de téléphones Android en espions

L'alerte est donnée : il existe plus de 400 vulnérabilités sur la puce Snapdragon de Qualcomm qui peuvent être exploitées sans l'intervention des propriétaires, explique Slava Makkaveev de Check Point.

Le gouvernement américain met en garde contre une nouvelle souche du virus chinois “Taidoor”

Les agences de renseignement américaines ont publié des informations sur une nouvelle variante du virus informatique vieux de 12 ans utilisé par les pirates informatiques parrainés par l'État chinois et ciblant les gouvernements, les entreprises et les groupes de réflexion.

Vacances d’été : profitez-en pour faire du ménage dans votre vie numérique

Après une longue période de confinement, et avant les vacances d’été, c’est le moment idéal pour effectuer un grand nettoyage ! Cela concerne aussi bien nos placards que notre vie numérique. Petit tour d'horizon et conseils pour se débarrasser de vos déchets  numériques.

36% des Millenials se moquent de la sécurité en ligne

La sécurité en ligne s’impose comme le facteur le plus important pour les Millenials lorsqu’on parle d’usages numériques à la maison. Pourtant, si cette...