Wordpress : une brèche dans WP Mobile Detector à colmater rapidement

De nombreux sites contaminés
Internet 2 min
Wordpress : une brèche dans WP Mobile Detector à colmater rapidement
Crédits : billyfoto/iStock

Une faille dans le plugin WP Mobile Detector de Wordpress permet actuellement à des pirates de contaminer des milliers de sites. Il est conseillé de mettre à jour le module aussi rapidement que possible ou de la désinstaller.

Comme souvent constaté avec sites Wordpress, la sécurité tient autant à la version utilisée du CMS (Content management system) qu’à ses nombreux plugins. Les failles peuvent se trouver dans l’un ou l’autre, permettant aux pirates de les exploiter pour insérer du contenu malveillant dans les pages. Quand ce n’est pas un lien vers un malware, ce peut être de la promotion vers des contenus pornographiques, ce qui est le cas ici.

Un nombre croissant de sites contaminés

Dans un billet de blog paru hier, la société de sécurité Sucuri a prévenu de l’exploitation active d’une faille dans le module WP Mobile Detector, chargé de détecter précisément quel appareil mobile est utilisé pour lui renvoyer une version adaptée du site. Cette brèche y est décrite comme très facile à exploiter, ce dont les pirates ne se privent pas.

Sur les derniers jours, Sucuri indique avoir constaté un nombre croissant de sites attaqués via cette vulnérabilité. Dans la plupart des cas, les pirates mettent en place un système de spam renvoyant vers du contenu pornographique. La société précise que la faille est connue publiquement depuis le 31 mai, que les premières attaques ont été détectées dès le 27.

La mise à jour est disponible

La brèche s’exploite en envoyant une requête contenant une adresse à resize.php ou timthumb.php. Un fichier css.php peut alors être placé dans le cache du dossier contenant le module. Un mot de passe particulier (« dinamit ») permet ensuite d’accéder aux fonctionnalités. Durant les premiers temps, la seule solution complète était de désinstaller complètement le plugin. On pouvait également désactiver l’exécution du code PHP dans le dossier de WP Mobile Detector, ce qui n’empêchait pas cependant l’upload de fichiers.

Depuis cette nuit cependant, une nouvelle version de WP Mobile Detector est disponible au téléchargement. Il est recommandé aux utilisateurs de la récupérer aussi rapidement que possible. Le problème est d’autant plus sérieux que, comme le pointe Ars Technica, plus de 10 000 sites se servent de ce plugin. Les notes de version montrent bien que la version 3.6 colmate la vulnérabilité avec le script resize, une mouture 3.7 ajoutant les fichiers manquants.

Une sécurité à entretenir

Le cas rappelle que la sécurité de Wordpress doit être soigneusement contrôlée. Si l’on utilise son propre serveur, les mises à jour du CMS doivent impérativement être faites car elles corrigent régulièrement des soucis de sécurité. Il faut également prendre un soin particulier dans le choix des plugins, en vérifiant notamment s’ils sont mis à jour régulièrement. Notez d’ailleurs que WP Mobile Detector avait rapidement été supprimé du dépôt officiel par Wordpress, avant d’y revenir une fois corrigé.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !