Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Un plugin WordPress vérolé a ouvert les portes de plus de 300 000 sites

L'un des intérêts de WordPress est qu'il suffit de télécharger des plugins pour ajouter rapidement des fonctionnalités à son site. Une simplicité apparente qui peut aussi être source de vulnérabilités.

C'est ce qui s'est passé pour les utilisateurs d'un plugin ajoutant un captcha. L'entreprise qui le maintenait a vendu ce produit à une autre société, qui y a discrètement ajouté une porte dérobée. Plus de 300 000 sites utilisent cet outil et sont donc concernés par cette brèche, estime The Hacker News.

Le plugin, ainsi que quelques autres publiés par le même auteur et présentant la même porte dérobée, ont été supprimés de la boutique d'éléments de WordPress.

8 commentaires
Avatar de Freud INpactien
Avatar de FreudFreud- 21/12/17 à 09:45:05

Ça ne serait pas du luxe de fournir le nom du plug-in, non? Wordpress doit être utilisé par certains de vos lecteurs, quand même.

Avatar de Patch INpactien
Avatar de PatchPatch- 21/12/17 à 09:51:02

Freud a écrit :

Ça ne serait pas du luxe de fournir le nom du plug-in, non? Wordpress doit être utilisé par certains de vos lecteurs, quand même.

Suffit d'aller voir la source : il s'agit de Captcha.

Avatar de Vekin Abonné
Avatar de VekinVekin- 21/12/17 à 09:51:46

Il s'agit de cette extension :https://fr.wordpress.org/plugins/captcha/

Et il se trouve que c'est précisément celle-là qui est installée sur un de mes sites... Dans ce cas, il faut veiller à bien posséder la version 4.4.5 qui a été patchée afin d'en retirer la faille. Et de migrer sur une autre extension au plus vite !

Avatar de Sabinoo INpactien
Avatar de SabinooSabinoo- 21/12/17 à 11:05:45

Cela fait des années que les gens de WP sont au courant de ce défaut dans leur CMS et refusent officiellement d'y faire quelque-chose.

Quand un plugin est retiré du repo pour faute,

  • il n'est pas retiré des blogs wordpress où il est installé (compréhensible pour une question de principe, et si c'était un plugin sans lequel un site cesse de fonctionner), et

  • les admins ne sont pas prévenus qu'un composant de leur blog a été pris en faute au point d'être viré du repo (intolérable et impardonnable, la dernière discu que j'aie vu sur le sujet, ça a achoppé sur un "ouais c'est vrai faudrait dire mais on fait quon quand c'est un tech qui installe un site pour des clients, on prévient qui, heu, chaispasfautvoir").

    Je suis aussi très réservé pour le sort des plugins obsolètes et/ou abandonnés. Je veux bien qu'un bloc de code vieux de 5, 7 ans, est toujours valide en théorie, mais si WP retire les plugins sans MAJ depuis deux ans de leur repo, on pourrait espérer une sorte de notif dans l'interface d'administration du blog tout de même quand on a ce plugin nous-mêmes, pour choisir si on veut trouver un équivalent encore maintenu.

Avatar de Obidoub Abonné
Avatar de ObidoubObidoub- 21/12/17 à 12:38:57

Grand grand classique les extensions wordpress vérolées, quand il ne s'agit pas des thèmes eux-même.

Édité par Obidoub le 21/12/2017 à 12:39
Avatar de Ricard INpactien
Avatar de RicardRicard- 21/12/17 à 13:59:14

Vous dever inperattivemant validé votre passe sécuriter.... Je comprends mieux les dizaines de mails que e reçois par semaine.:fumer:

Avatar de skankhunt42 Abonné
Avatar de skankhunt42 skankhunt42 - 21/12/17 à 15:55:28

Sabinoo a écrit :

 les gens de WP sont au courant de ce défaut

Tu peut pas faire grand chose sous wordpress sans une flopée de plugins... Le choix du plugin doit être réfléchi pour éviter de ce retrouver avec des trucs plus à jours et de changer l'architecture. Certains truc assez simple devrait être intégrés nativement comme par exemple la gestion de plusieurs langue ou la régénération des images car c'est typiquement le truc horrible à débuger et pas franchement souple à modifier. Par contre si demain wordpress intègre ça nativement alors ceux qui vivaient de ces plugins vont clairement faire la tronche.

Avatar de aigleblanc INpactien
Avatar de aigleblancaigleblanc- 22/12/17 à 15:04:45

C'est a ça que sert la veille et la maintenance que tu vends a tes clients, si c'est pour un site perso, suffit de mettre a jour généralement, et rare sont les sites hacké sans savoir pourquoi.
 
Perso je manage mes sites clients depuis un soft pour maj tous les plugins et avoir des rapports en cas de plugins/themes vérolés, et puis il faut aussi suivre les rss des sites qui répertorient les failles, depuis 2 ans que je fais ça, je n'ai eu aucun site piraté sur tous les clients qui ont décidé de faire confiance. par contre, ceux qui n'ont pas voulu de maintenance, et bien il change d'avis au premier piratage de leur site qu'ils n'ont pas pris la peine de mettre a jour.

Il n'est plus possible de commenter cette actualité.