Une faille de sécurité a été découverte dans Really Simple Security, un plugin WordPress axé sur la sécurité. Le plugin permet notamment de profiter d’une couche d’authentification à deux facteurs et d’une détection des vulnérabilités en temps réel.
Selon les chercheurs de WordFence, un autre plugin WordPress spécialisé dans la sécurité, la brèche de Really Simple Security permet à un attaquant à distance d’obtenir un accès administrateur complet. En exploitant la vulnérabilité, il est en fait possible de « contourner l’authentification et d’accéder aux comptes de tout utilisateur, y compris les administrateurs ».
Aux yeux de WordFence, il s’agit de « l’une des vulnérabilités les plus graves que nous avons signalées au cours de nos 12 années d’histoire en tant que fournisseur de sécurité pour WordPress ». Pour exploiter la faille, les attaquants peuvent se servir de scripts automatisés. Nos confrères de Bleeping Computer redoutent donc de voir apparaître « des campagnes de prise de contrôle de sites Web à grande échelle ».
À lire aussi : Près de 100 sites français compromis – un pirate y a installé une porte dérobée
Des millions de sites affectés et un correctif
La vulnérabilité concerne les versions gratuite et Pro du logiciel, allant des itérations 9.0.0 à 9.1.1.1. La version gratuite du plugin est utilisée par plus de quatre millions de sites Web.
Sans surprise, les développeurs derrière Really Simple Security ont promptement déployé des correctifs suite à la découverte de WordFence. Avec l’appui des équipes de WordPress, ils ont poussé la version 9.1.2 du plugin il y a quelques jours. Pour se protéger, les utilisateurs sont invités à installer la dernière version du plugin dès que possible. Pour le moment, plus de 450 000 sites ont pris le temps d’installer le correctif. Plus de trois millions de sites web concernés sont toujours vulnérables…
Tant que tous les administrateurs n’auront pas installé le correctif, il est possible que des cybercriminels exploitent la brèche pour prendre le contrôle d’un site web. Une fois que le site sera tombé entre leurs mains, ils seront libres d’en faire tout ce qu’ils veulent. Ils pourront notamment afficher des escroqueries, des pages de phishing ou des liens forçant l’installation de malwares. Par le passé, des pirates se sont d’ailleurs servis de sites WordPress compromis pour propager des malwares capables de voler les cryptomonnaies. C’est la porte ouverte à tous les abus.
Dans ce contexte, WordFence encourage « les fournisseurs d’hébergement à mettre à jour de force leurs clients et à effectuer des analyses sur leurs systèmes de fichiers d’hébergement pour s’assurer qu’aucun client n’exécute une version non corrigée de ce plugin ».
Ce n’est pas la première fois de l’année qu’un plugin WordPress populaire met en danger une montagne de sites web. Début d’année, une vulnérabilité dans le plugin Popup Builder a conduit au piratage de milliers de sites. Cette faille a été exploitée à plusieurs reprises avant qu’une mise à jour ne corrige le tir. Plus récemment, c’est le plugin LiteSpeed Cache qui a mis en danger plus de six millions de sites WordPress.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : WordFence
