Des millions de site risquent un piratage massif à cause de ce plugin WordPress

Une faille de sécurité critique a été découverte dans un plugin populaire de WordPress. Plus de 4 millions de sites Web sont concernés, ce qui met en danger les données personnelles de très nombreux utilisateurs.

Piratage site Web plugin WordPress
Crédits : 123RF

Le nom de WordPress ne vous dit peut-être rien, et pourtant, il est derrière près de la moitié des sites Internet du monde entier. 43,6 % exactement selon les dernières statistiques. Il s'agit d'une plateforme de gestion de contenus en ligne, permettant de créer puis gérer des pages Web. L'une de ses grandes forces, c'est la possibilité d'ajouter des plugins, un peu comme des extensions de navigateurs. Il en existe des centaines de milliers, ce qui assure de trouver exactement celui dont vous avez besoin.

La contrepartie, c'est que chacun représente un risque potentiel pour la sécurité, puisque les pirates vont chercher à exploiter la moindre faille présente dans un plugin. Le phénomène est d'autant plus grave quand il en touche un très utilisé. Celle qui a été révélée récemment concerne plus de 4 millions de sites. Elle touche l'extension Really Simple Security, qui propose comme son nom l'indique de se charger simplement de l'aspect sécurité du site : configuration SSL, protection des identifiants, authentification à deux facteurs…

Cette faille d'un plugin WordPress populaire met en danger des millions de sites Web

Les équipes de Wordfence, qui ont découvert la faille, annoncent d'emblée la couleur :  “c'est l'une des vulnérabilités les plus graves que nous avons signalées au cours de nos 12 années d'histoire en tant que fournisseur de sécurité pour WordPress“. Elle est présente sur les version gratuites, “Pro” et “Pro Multisite” du plugin, de la 9.0.0 à la 9.1.1.1. En l'utilisant, un hacker peut accéder à n'importe quel compte d'utilisateur inscrit sur le site, y compris celui de ses administrateurs.

Lire aussi – WordPress et Tumblr vendent vos données à des entreprises pour former leurs IA

Malheureusement, l'exploitation peut se faire à l'aide de scripts automatisés, ce qui laisse la porte ouverte à des opérations de piratages massifs et simultanés. Un correctif a été déployé sur toutes les versions et devrait avoir été installé automatiquement. Les administrateurs de sites doivent tout de même vérifier qu'ils possèdent bien la version 9.1.2 de Really Simple Security et faire la mise à jour manuellement au besoin.


Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers  !