Une faille dans le plugin WP Mobile Detector de Wordpress permet actuellement à des pirates de contaminer des milliers de sites. Il est conseillé de mettre à jour le module aussi rapidement que possible ou de la désinstaller.
Comme souvent constaté avec sites Wordpress, la sécurité tient autant à la version utilisée du CMS (Content management system) qu’à ses nombreux plugins. Les failles peuvent se trouver dans l’un ou l’autre, permettant aux pirates de les exploiter pour insérer du contenu malveillant dans les pages. Quand ce n’est pas un lien vers un malware, ce peut être de la promotion vers des contenus pornographiques, ce qui est le cas ici.
Un nombre croissant de sites contaminés
Dans un billet de blog paru hier, la société de sécurité Sucuri a prévenu de l’exploitation active d’une faille dans le module WP Mobile Detector, chargé de détecter précisément quel appareil mobile est utilisé pour lui renvoyer une version adaptée du site. Cette brèche y est décrite comme très facile à exploiter, ce dont les pirates ne se privent pas.
Sur les derniers jours, Sucuri indique avoir constaté un nombre croissant de sites attaqués via cette vulnérabilité. Dans la plupart des cas, les pirates mettent en place un système de spam renvoyant vers du contenu pornographique. La société précise que la faille est connue publiquement depuis le 31 mai, que les premières attaques ont été détectées dès le 27.
La mise à jour est disponible
La brèche s’exploite en envoyant une requête contenant une adresse à resize.php ou timthumb.php. Un fichier css.php peut alors être placé dans le cache du dossier contenant le module. Un mot de passe particulier (« dinamit ») permet ensuite d’accéder aux fonctionnalités. Durant les premiers temps, la seule solution complète était de désinstaller complètement le plugin. On pouvait également désactiver l’exécution du code PHP dans le dossier de WP Mobile Detector, ce qui n’empêchait pas cependant l’upload de fichiers.
Depuis cette nuit cependant, une nouvelle version de WP Mobile Detector est disponible au téléchargement. Il est recommandé aux utilisateurs de la récupérer aussi rapidement que possible. Le problème est d’autant plus sérieux que, comme le pointe Ars Technica, plus de 10 000 sites se servent de ce plugin. Les notes de version montrent bien que la version 3.6 colmate la vulnérabilité avec le script resize, une mouture 3.7 ajoutant les fichiers manquants.
Une sécurité à entretenir
Le cas rappelle que la sécurité de Wordpress doit être soigneusement contrôlée. Si l’on utilise son propre serveur, les mises à jour du CMS doivent impérativement être faites car elles corrigent régulièrement des soucis de sécurité. Il faut également prendre un soin particulier dans le choix des plugins, en vérifiant notamment s’ils sont mis à jour régulièrement. Notez d’ailleurs que WP Mobile Detector avait rapidement été supprimé du dépôt officiel par Wordpress, avant d’y revenir une fois corrigé.
Commentaires (25)
#1
Jamais utilisé cet addon perso, je me suis contenté de custom un template de base et ils ont un design qui s’adapte en fonction du client.
#2
Une faille critique dans wordpress ? Noooon ! Pas possible !
" />
" />
Plus sérieusement il faudrait vraiment que les gens arrêtent complètement d’utiliser wordpress tant que le code n’aura pas été entièrement revu…. Le nombre de failles critiques 0-day de cette bouse est juste hallucinant…. Et les multiples correctifs de sécurités en rajoutent encore….
Du procédural en 2016
#3
#4
#5
WP est en train de devenir le “Java” des CMS…
#6
Ouais c’est plus simple pour vous, le jour où ton client veut aller voir ailleurs… Il va être content avec sa solution maison.
" />
Après il y a sans doute peu de clients qui pensent au long terme
#7
C’est bien beau de critiquer à tout va, mais vous proposez quoi comme solution pour une petite entreprise qui a pas forcément les moyens de mettre 5000€ et + dans un site internent from scratch?
Personnellement, je l’utilise pour un site vitrine et il fait très bien le taf. J’ai aucune donnée sensible dessus et je veille à ce qu’il soit à jour. Ca me permet de l’actualiser facilement et la gestion se fait bien.
Mes compétences sont assez limitées dans ce domaine bien que je tente tout les jours d’en apprendre un peu plus.
Joomla est-il réellement meilleur? ou alors un autre?
#8
Quelqu’un a déjà testé le CMS Respond ? J’ai joué un peu avec, ça avait l’air plutôt sympa.
Je me demande si c’est utilisable pour un projet “sérieux”.
#9
#10
#11
+1
Selon moi WP, Joomla et autre Drupal doivent rester pour des sites à très faibles budgets (sites perso ou associatifs).
Pour tout le reste, c’est plus sûr de repartir from scratch voire d’utiliser un CMS maison.
#12
WP c’est pour les Moldus :p
#13
Tout dépends du temps disponible; de la taille du projet et des ressources allouées. C’est sur qu’une calculette de crédit immobilier ou une base documentaire en 1 an avec 10 personnes dessus c’est plus facile. Maintenant un dev isolé, avec un projet balèze et peu de temps devra faire avec sera forcément obligé de considérer l’une ou l’autres des solutions.
Je ne critique aucunement l’une ou l’autre des méthode, je dis qu’il faut remettre en perspective avec les données du problèmes des cas évoqués. Chacun a dit, “moi ca marche”, “moi; ça; jamais”
Je rejoins Lyaume la dessus. La critique est facile mais la preuve est déjà plus rare, et l’alternative encore plus.
Quid de la Cand… grandeur du monde libre ?
C’est toujours plus facile de tirer sur les gros. Un peu comme dire que M$ fait de la merde globalement alors que le problème n’est que sur 1 produit.
#14
J’ai jamais dit que tu pouvais pas faire de gros projets sans CMS, juste que c’était compliqué…. Surtout qu’au vu de ton message c’est aussi sans framework…. du coup tu te heurtes nécessairement aux faiblesses structurelles de php.
De ce que tu dis, je ne suis pas certain que PHP soit le meilleur choix du coup….
Et ça n’enlève absolument rien à ce que j’ai dit sur le procédural : j’attends de voir un gros projet codé en procédural qui ne soit pas une usine à gaz…. après plus de 10 ans de dev en pro (sur plusieurs techno, avec de multiples CMS, plus de 150 sites, etc…) ça reste du domaine de l’hypothèse….
Edit : et au passage tu as bien plus de chance d’avoir une faille sur ton projet avec du code perso qu’avec un code éprouvé… et tu te fais éparpiller au tribunal pareil.
#15
Bah des solutions y en a 100000….
Wordpress c’est le plus connu et le plus utilisé, c’est tout. En soit c’est un très bon produit pour une utilisation très basique. Mais c’est un gruyère dégueulasse et tous les modules que les utilisateurs rajoutent (parce que le core de WP est relativement faible en terme de fonctionnalité) n’arrangent rien…
Le gros problème de WP, au-delà de sa conception, c’est surtout que c’est le plus utilisé. Du coup il se reconnait facilement et comme les failles sont connues bah….
#16
#17
#18
C’est clair !
" />
En fait je pense que WP et ses add-ons font la course avec La Daube Flash pour voir lequel réussira à comptabiliser le plus de failles.
#19
#20
#21
Ce n’est pas condescendant, c’est un problème qu’ont beaucoup de “vieux” dev PHP et qui du reste est parfaitement compréhensible.
Pré-PHP5 PHP était surtout un langage de script, et dans ce contexte tout ce que tu as écrit se tient (quelque soit la taille de ta structure).
Post-PHP5 c’est devenu un “vrai” langage de programmation mais beaucoup de dev ayant la plus grande part de leur expérience avant ont eu beaucoup de mal à se mettre à la page. J’ai d’ailleurs eu beaucoup de critiques de devs d’autres techno comme quoi “PHP c’est pas du dev et les gens qui ont font sont plus des webmasters que des devs” (surtout quand j’ai changé de techno).
Ce n’est peut être pas ton cas, notamment si tu es dans une structure assez importante pour avoir des équipes avec les moyens de faire du from scratch propre. Mais comme c’est très loin d’être la majorité et que la réponse la plus simple est souvent la meilleure, j’ai répondu comme si tu étais dans ce cas là. Mes excuses si c’est ça.
#22
#23
J’attends le support de l’unicode avant de migrer !
" />
PS : si ça peut te rassurer je suis nettement plus critique envers les “jeunes” dev PHP qui se disent dev mais qui n’ont pas la moindre foutue idée de ce qu’est un pointeur (et eux n’ont pas d’excuses !)
#24
#25