Wordpress 4.1.2 : une importante mise à jour de sécurité pour le CMS et les plugins

WordPress 4.1.2 : une importante mise à jour de sécurité pour le CMS et les plugins

Des trous, des p'tits trous, encore des p'tits trous

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

22/04/2015 2 minutes
39

Wordpress 4.1.2 : une importante mise à jour de sécurité pour le CMS et les plugins

WordPress vient d'annoncer une mise à jour de sécurité critique estampillée 4.1.2. Elle corrige plusieurs failles, dont une qui pourrait permettre à n'importe qui de compromettre un site WordPress. Dans le même temps, de nombreux plugins ont également été mis à jour à cause d'une autre brèche.

WordPress 4.1.2 est disponible et il est fortement conseillé de se mettre à jour

Les sites fonctionnant sous WordPress sont régulièrement la cible de pirates qui exploitent des failles de sécurités sur le CMS lui-même ou bien sur ses plugins. On se souvient par exemple des 100 000 sites infectés à cause d'une brèche sur Slider Revolution et de la récente mise en garde du FBI.

Hasard ou pas du calendrier, WordPress vient justement de publier une importante mise à jour estampillée 4.1.2. L'équipe en charge du projet explique que « les versions 4.1.1 et antérieures sont affectées par une vulnérabilité critique cross-site scripting (XSS), qui pourrait permettre à des utilisateurs anonymes de compromettre un site ». Mais ce n'est pas tout et trois autres failles sont également bouchées.

Les plugins sont également touchés par une possible attaque par injection SQL

La première concerne WordPress 4.1 où il est possible d'uploader des fichiers non autorisés. La deuxième se trouve sur toutes les moutures 3.9 et plus récentes, et elle prend là aussi la forme d'une brèche XSS, mais à la portée « limitée » apparemment. Tout aussi inquiétant, « certains plugins étaient vulnérables à une attaque par injection SQL ».

Dans un autre billet, on apprend qu'il s'agit en fait d'une « ambiguïté » dans la documentation des fonctions add_query_arg () et remove_query_arg () que « de nombreux plugins les utilisent à tort, ouvrant la porte à de potentiels vecteurs d'attaque XSS dans leur code ».

De fait, de nombreux plugins ont donc été mis à jour et, en plus de WordPress 4.1.2, il est recommandé de faire un tour de ce côté-là afin de vérifier que tout va bien. On remarquera que, cette fois encore, WordPress ne mentionne absolument pas l'annonce de Malwarebytes sur une campagne d'infection. Pour rappel, le CMS n'avait pas non plus souhaité répondre à nos questions sur le sujet.

39

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

WordPress 4.1.2 est disponible et il est fortement conseillé de se mettre à jour

Les plugins sont également touchés par une possible attaque par injection SQL

Commentaires (39)


Carla Bruni mettra-t-elle a jour son site ? <img data-src=" />


Estimation de la mise à jour par le prestataire : 50 000€ (remise commercial incluse !)


concernant le deuxième point pour les plugins, comment corriger soit même la faille ? car certains plugins ne sont pas toujours mis à jour par leur auteur ! merci :)








hycday a écrit :



comment corriger soit même la faille ?






 En aidant l'auteur ou à défaut en désactivant temporairement ledit plugin jusqu'à qu'une update soit proposée par l'auteur ?       






 Pour le reste ,c'est du classique: Wordpress, comme d'autres produits, est malheureusement victime de son succès: quand une techno bien précise se retrouve avec une part de marché significative, elle devient de fait une cible suffisamment intéressante pour les pirates.       

C'est un peu le même principe qui fait qu'on trouve beaucoup plus de tentatives d'intrusion, de virus, trojan, etc... sur des ordis équipés de Windows &amp; MacOS comparé à Linux.






 Perso, j'ai encore un vieux Wordpress qui tourne, mais qui est sandboxé au maximumu tellement je suis persuadé que si un jour on arrive à rentrer dans mon infra, ce sera sans doute par là qu'on sera passé.     






 Et à plus long terme (et étant donné que j'ai (encore) les capacités de faire du dev. par moi-même), je lorgne du côté d'une évolution de mon site vers quelque chose de plus 'fait main', donc non standard (dans mon cas, je regarde du côté de NodeJS + Loopback + Angular, mais mon besoin est un peu atypique).       

&nbsp;


je veux bien aider et corriger la faille moi même puis envoyer mon travail, mais je cherchais une méthode qui explique (sans avoir à se taper un rapport de 35pages) comment corriger la faille. Est-ce que c’est “simplement” une histoire de renomamge de fonction dans un code, ou est ce que c’est plus complexe ? Les auteurs ne répondent pas toujours, et je ne vais pas forcément me taper un tour de tous les plugins sur tous les wordpress. Une recherche par mot clé aiderait par exemple à ne me concentrer que sur les plugins sujets à cette faille. Mais encore faut il que je sache la corriger derrière


Connexion au blog… ça mouline, ha oui, c’est vrai, j’ai pas coupé la mise à jour auto <img data-src=" />

Durant ce temps, je reçois un mail de mon blog (c’est-y pas trop mimi ??) comme quoi, howdy, j’ai été mis à jour.



… Enfin, 30 minutes plus tard, force est de constater que ça a tout bousillé.



Good news : wp-admin marche toujours et le backup manager aussi&nbsp;<img data-src=" />


Gné ? Il y a encore des gens (sérieux) qui utilisent cette passoire de Wordpress ? C’est une blague non ? <img data-src=" />








Ricard a écrit :



Gné ? Il y a encore des gens (sérieux) qui utilisent cette passoire de Wordpress ? C’est une blague non ? <img data-src=" />





La critique est aisée, mais l’art est difficile



La mise à jour s’est faite automatiquement hier pour ma part.








hycday a écrit :



je veux bien aider et corriger la faille moi même puis envoyer mon travail, mais je cherchais une méthode qui explique (sans avoir à se taper un rapport de 35pages) comment corriger la faille. Est-ce que c’est “simplement” une histoire de renomamge de fonction dans un code, ou est ce que c’est plus complexe ? Les auteurs ne répondent pas toujours, et je ne vais pas forcément me taper un tour de tous les plugins sur tous les wordpress. Une recherche par mot clé aiderait par exemple à ne me concentrer que sur les plugins sujets à cette faille. Mais encore faut il que je sache la corriger derrière





L’article est assez détaillé à priori:



certains plugins étaient vulnérables à une attaque par&nbsp;injection SQL.Dans un autre billet, on apprend qu’il s’agit en fait d’une « ambiguïté » dans la documentation des fonctions&nbsp;add_query_arg ()&nbsp;et&nbsp;remove_query_arg () (…)



Donc:




  • la première action serait de rechercher ‘*_query_arg’ dans le code dudit plugin.



    • la deuxième c’est de suivre les recommandations du post sur le blog donné en lien:



      “The easiest way to fix this in your plugin is to escape the output of add_query_arg() and remove_query_arg(). When it’s being printed to a page (for example as a link), you should use esc_url(). When it’s being used in HTTP headers or as part of a HTTP request (for example, as part of a location redirect header or in a wp_remote_get() call), you should use esc_url_raw().”&nbsp;

      &nbsp;




Tu propose quoi comme alternative ?








Ricard a écrit :



Gné ? Il y a encore des gens (sérieux) qui utilisent cette passoire de Wordpress ? C’est une blague non ? <img data-src=" />





Il faut dire que Wordpress ca fonctionne, c’est relativement simple, rapide a mettre en place et avec pleins de fonctionnalités/plugin.



Donc je suppose que tu as un magnifique CMS qui rempli les mêmes fonctionnalités, qui a les mêmes capacités de modifications (plugins/thèmes compris), et bien évidemment sans failles, à nous proposer ? ;)

&nbsp;

Bien qu’il soit peut-être lourd, régulièrement sujet à des failles (du moins, il est connu donc on lui cherche toutes les failles possibles), il n’empêche que Wordpress permet de faire de bien belles choses, et parfois simplement.



Quand je vois le temps de dev’ pour un système complet, et le temps qu’il faut pour créer un thème complètement personnalisé (donc sans code à la base, avec plugins éventuels, et retouches sur l’administration), des fois y’a pas photo et Wordpress est bien pratique.


J’ai plusieurs sites (Wordpress Multi-sites Multi-domaines) et à part le CSS, je crois que j’ai jamais au à toucher au code. En fait, je ne préfère pas trop voir ce qu’il y a dernier.


Tout dépend de tes besoins. Si en effet tu trouves un thème et des plugins qui te permettent de faire tout ce que tu veux, et de le présenter comme tu le veux, et bien c’est parfait.

Mais j’aime y mettre ma touche personnelle et j’ai l’habitude de créer des thèmes (pas vraiment les plugins) de A à Z, avec la présentation que je souhaite. (Donc je ne touche que au code permettant de créer un thème, en aucun cas je ne modifie le coeur de Wordpress, et une mise à jour ne fait rien de mal ;) )


C’est vrai qu’en multisite, c’est plutôt très pratique!&nbsp;

Mais si je modifie à chaque fois les CSS, j’enlève au moins quelques fonctions comme les commentaires! J’en ai pas besoin, et je ne veux pas simplement les désactiver ou les masquer!

&nbsp;

Ca me fait rire quand je lis à chaque fois des commentaires du genre “Quoi, il y en a encore qui utilise?”…

Sur la puissance de l’outil (quand je parle de puissance, je parle en faisabilité, maniabilité…), et le coût…

C’est sûr que je ne ferai pas un énorme site là dessus, mais quand on n’a pas de budget, on le met à jour et ça roule assez bien.








zefling a écrit :



J’ai plusieurs sites (Wordpress Multi-sites Multi-domaines) et à part le CSS, je crois que j’ai jamais au à toucher au code. En fait, je ne préfère pas trop voir ce qu’il y a dernier.





Oui le code en général il vaut mieux ne pas regarder ^^ . Mais bon ca fonctionne&nbsp;<img data-src=" />









brazomyna a écrit :



Pour le reste ,c’est du classique: Wordpress, comme d’autres produits, est malheureusement victime de son succès: quand une techno bien précise se retrouve avec une part de marché significative, elle devient de fait une cible suffisamment intéressante pour les pirates.







C’est tout à fait vrai : plus une plate-forme sera populaire et plus elle intéressera les pirates. Je voudrais cependant apporter une nuance : ça ne veut pas dire pour autant que le nombre d’attaques réussies est proportionnel aux parts de marché.



Deux exemples les montrent.



Nombre de malwares VS parts de marché smartphones

(ça date de 2013 mais qualitativement doit rester valable aujourd’hui)

Android avait 50% de parts de marché, 80% des malwares le ciblaient.

Mais en dehors de cela il n’y a pas de corrélation entre les parts de marché et le nombre de malwares. iOS a des parts de marché bien plus importantes que Symbian, et est pourtant beaucoup moins attaqué.



Taux d’infection de machines sous différentes versions de Windows

Depuis plusieurs années les versions successives de Windows sont de moins en moins vulnérables aux malwares. Est-ce que c’est parce que leurs parts de marché ont diminué ? Non, c’est grâce à une sécurité accrue de ces systèmes d’exploitation. L’amélioration est notable de Windows XP à Windows 8.





Autant je suis d’accord pour dire que plus une plate-forme aura de parts de marché, et plus elle attirera les pirates ; autant il ne faut pas en conclure que les pirates arriveront effectivement à attaquer efficacement ladite plate-forme. Il y a beaucoup d’autres facteurs à prendre en compte : mécanismes de sécurité (droits par défaut des comptes utilisateurs, sandboxes, etc.), rapidité à patcher (et déploiement effectif des patches), et ainsi de suite.



Joomla&nbsp;<img data-src=" />


De quelle faille critique on parle ? Si c’est la faille XSS qui permet de prendre le contrôle admin en laissant un commentaire qui sera modéré ( par l’admin justement ) si tu comprends comment elle marche elle devient assez simple à fixer. Mais ça doit pas être celle ci car me semble qu’elle était déjà corrigé.



En l’occurrence l’article n’est pas assez précis. Mais les failles XSS reposent sur l’ingénierie social, il suffit de la comprendre pour la corriger, même si plonger dans le code wordpress est un peu difficile :/


je parlais de la deuxième partie de l’article, la faille avec les _query_arg()



&nbsp;







brazomyna a écrit :



L’article est assez détaillé à priori:




certains plugins étaient vulnérables à une attaque par&nbsp;injection SQL.Dans un autre billet, on apprend qu'il s'agit en fait d'une « ambiguïté » dans la documentation des fonctions&nbsp;add\_query\_arg ()&nbsp;et&nbsp;remove\_query\_arg () (...)     





Donc:




  • la première action serait de rechercher ‘*_query_arg’ dans le code dudit plugin.



    • la deuxième c’est de suivre les recommandations du post sur le blog donné en lien:



      “The easiest way to fix this in your plugin is to escape the output of add_query_arg() and remove_query_arg(). When it’s being printed to a page (for example as a link), you should use esc_url(). When it’s being used in HTTP headers or as part of a HTTP request (for example, as part of a location redirect header or in a wp_remote_get() call), you should use esc_url_raw().”&nbsp;

      &nbsp;





      merci, je suis novice dans la correction de faille et je pensais que c’était moins simple




Non, ce n’est plus utilisé que par 80% de la planete web (à la louche). Le declin est largement amorcé.



La prochaine plateforme à succès sera codé en Go et mettra enfin tous le monde d’accord.



Ou pas…


C’est déjà en cours.








lossendae a écrit :



Non, ce n’est plus utilisé que par 80% de la planete web (à la louche). Le declin est largement amorcé.



La prochaine plateforme à succès sera codé en Go et mettra enfin tous le monde d’accord.



Ou pas…





Ha mince, je pensais pas que toi tu mordrais… <img data-src=" />









Le-Glod a écrit :



Tu propose quoi comme alternative ?





Moi je recode chaque page tous les jours en xhtml sous Vim(gloire à son nom). <img data-src=" />



Perso, je me tourne actuellement vers Django/Mezzanine, c’est du python et c’est beaucoup plus light de base que Wordpress.


On attend avec impatience que le FBI nous rappel de faire cette mise à jour..


En même temps, je pense qu’il n’est pas bien compliqué de faire plus « light » que Wordpress. <img data-src=" /> (même en Whitespace).


Reçu un mail de mon site hier soir aussi pour m’informer de la mise à jour. Bon j’étais sur mon smartphone mais ça avait l’air de toujours tourner et la news NXI me l’a rapellé du coup j’ai vérifié sur le PC.

&nbsp;


Je m’en sers pour un site associatif, avec peu d’utilisateurs, peu de plugins. Ca s’est mis à jour tout seul. Que demande le peuple ?



A contrario, comme je vois régulièrement des actus sur des failles WP, je ne recommanderai pas cet outil pour le boulot.


C’est le plus connu, c’est pour ça que ça beaucoup d’actus dessus, mais je ne pense pas que ça soit pire qu’un autre. Après, si tu veux pas trop d’emmerde, fait ton truc, mais ça prend BEAUCOUP plus de temps. Je vois la différence entre ce que j’ai fais et les autres : j’ai aucun de spam (car les bots ne s’amuse pas à faire un truc spécifique pour moi) donc s’attaquer à une éventuelle faille.


Faut voir le nombre de PME qui vivent de WordPress. Pour le site de ma boite, et bien tous les prestataires ont proposé du WordPress.



L’inconvenient c’est que beaucoup s’improvisent concepteur de site web, mais pas toujours avec talent.








Groumfy a écrit :



Je m’en sers pour un site associatif, avec peu d’utilisateurs, peu de plugins. Ca s’est mis à jour tout seul. Que demande le peuple ?



A contrario, comme je vois régulièrement des actus sur des failles WP, je ne recommanderai pas cet outil pour le boulot.





Oui, pour les petits trucs, ok. Par contre, pour rentrer dans le sérieux, Drupal fait clairement mieux le job (y a pas photo) ou encore Typo 3, pourquoi pas. Mais je pensais surtout aux particuliers, pour pondre 3 pages par mois sur un blog perso, il y a 250 alternatives bien plus légères, sécures et surtout moins usine à gaz.



Drupal ? Si tu compare WP à une usine à Gaz alors Drupal c’est quoi, un réacteur thermo-nucléaire &nbsp;? Pour un très gros site, pourquoi pas… après tout Drupal est un gestionnaire de contenus. Mais c’est lourd et leeeeent.



Je propose WP pour 99% des projets, sans me sentir limité par le soft. Niveau sécurité c’est surtout au niveau des plugins qu’il faut se méfier, donc ça passe par développer sois-même la feature quand on est pas sûrs de ce qu’on installe.



Même pour de l’e-commerce je fais aussi confiance à WP (avec Woocommerce) pour de petits sites (10 produits) et je passe sur Prestashop dès que ça devient plus touffu.



Après je suis OK pour dire qu’il existe plus léger, j’ai déjà bossé sous SPIP, c’est ultra léger, mais après faut vraiment pas en demander trop quoi ;)


De toute façon le choix d’un cms doit se faire en fonction du projet.

Suivant la nature du projet les critères de choix ne sont pas les mêmes.



&nbsp;Pour l’intranet de mon boulot j’ai pris joomla et on a zéro soucis depuis la mise en route (en même temps c’est un intranet)


Oui alors, qu’on soit clair tous les deux. Je comprends bien ce que tu dis et je suis (globalemen) d’accord, sauf que… A l’origine, WP c’est un moteur de blog… qu’est devenu un gestionnaire de contenu. WP pour faire un blog, c’est mort. C’est parti dans tous les sens, on sait plus trop ce que c’est. C’est pour ça que je parle du blog de Kevin sur WoW… Un simple Dotclear (qui est très bien pour un blog) suffit largement. Après, utiliser WP avec 59 plugins pour arriver au même résultat que Drupal… je vois pas.

Sinon, j’aime bien PHPBoost aussi.


En même temps un WP avec 59 plugins ya un souci ;)

Mais on est OK sur le principe : on utilise un CMS en fonction de la situation.



Maintenant, concernant l’utilisation blog, Wordpress reste très léger bien que complet et surtout il te laisse la possibilité de faire évoluer ton pokémon&nbsp;blog vers un vrai site très facilement plus tard. L’évolutivité d’un CMS c’est aussi une force non ?








Pumpk1in a écrit :



Maintenant, concernant l’utilisation blog, Wordpress reste très léger bien que complet et surtout il te laisse la possibilité de faire évoluer ton pokémon&nbsp;blog vers un vrai site très facilement plus tard. L’évolutivité d’un CMS c’est aussi une force non ?





Je suis d’accord avec cela.

Ce qui fait la lourdeur de WP, ce n’est pas le moteur… C’est la débauche de finissions que le webkevinmaster installe dans tous les sens.



Et hop, déjà 4.1.3 <img data-src=" />