Un thème WordPress sème la pagaille et expose 25 000 sites à une faille critique, exploitée par les pirates

Mérouan Goumiri
21 février 2024 à 10h02
10
Si vous utilisez le thème Bricks de WordPress, il va falloir rapidement passer à la dernière version © WordPress
Si vous utilisez le thème Bricks de WordPress, il va falloir rapidement passer à la dernière version © WordPress

Il y a quelques jours, une faille de sécurité critique s'est immiscée dans l'un des thèmes de WordPress. Plusieurs milliers de sites sont donc potentiellement exposés à cette vulnérabilité.

Si les alternatives se veulent de plus en plus nombreuses, WordPress demeure toujours parmi les meilleurs gestionnaires de contenus pour créer un site web. Jouissant d'une importante communauté, et proposant un large choix de plugins et de thèmes gratuits, WordPress est aujourd'hui une solution incontournable pour les personnes désirant se lancer dans la création de leur site internet, notamment en raison de sa simplicité d'utilisation.

Mais, depuis quelques jours, un thème est la cible d'une faille de sécurité activement exploitée par les pirates, susceptible d'affecter pas moins de 25 000 sites et dont la gravité a été évaluée à 9,8 sur 10 sur le Common Vulnerability Scoring System (CVSS).

WordPress : le thème Bricks présente une vulnérabilité importante

Le 10 février dernier, un expert en sécurité connu sous le nom de « Snicco » a signalé une faille affectant le thème Bricks de WordPress via la plateforme Patchstack. Cet outil, alimenté par « une communauté de hackers éthiques », aide à identifier les vulnérabilités au sein de l'écosystème WordPress (plugins, thèmes, sites web…).

Identifiée sous le nom CVE-2024-25600, cette vulnérabilité permet à des pirates d'exécuter du code PHP arbitraire à distance, comme cela nous est rapporté par The Hacker News. Par conséquent, ces derniers pourraient s'emparer d'un site sans disposer des informations d'identification de l'utilisateur. Notez au passage que toutes les versions du thème sont concernées jusqu'à la 1.9.6.

Meilleur hébergeur web, le comparatif en février 2024

Comment choisir le meilleur hébergeur web ? Clubic a testé et comparé les 10 principaux hébergeurs web au niveau des performances, des pratiques tarifaires, du niveau de fiabilité des infrastructures et de la qualité du service client, afin d'établir un comparatif fiable.
Lire la suite

Fort heureusement, les développeurs du thème ont été réactifs et ont rapidement publié la version 1.9.6.1 de Bricks, assurant ainsi aux utilisateurs un moyen de se protéger contre cette vulnérabilité.

Plus de 25 000 sites exposés à une faille critique

Depuis le 13 février, soit seulement quelques jours après le premier signalement, les utilisateurs du thème Bricks peuvent installer les derniers correctifs afin d'atténuer les menaces potentielles. Au 19 janvier, toujours selon les informations rapportées par The Hacker News, près de quarante tentatives d'attaque exploitant la faille avaient déjà été détectées.

Bricks totalisant environ 25 000 installations actives à l'heure où sont écrites ces lignes, les clients du thème ont tout intérêt à installer sans plus attendre la version 1.9.6.1. Plus vous retarderez son installation, plus vous vous exposerez au risque qu'un pirate puisse s'emparer de votre site web. Pour rappel, il vous suffit de vous rendre dans le tableau de bord de WordPress pour installer en un seul clic la mise à jour.

WordPress
Voir l'offre
Lire l'avis 8
WordPress
  • Apprentissage rapide
  • Des milliers de thèmes
  • Presque 60 000 extensions

WordPress est la star incontestée du web. Son ergonomie, la richesse de ses templates (réactifs, gratuits ou payants), la myriade d’extensions, ses capacités en référencement séduisent. Revers de la médaille, il concentre l’essentiel des cyberattaques et devient rapidement lent. Les propriétaires de sites WordPress ont la fâcheuse tendance à accumuler les extensions inutiles, souvent sans les mettre à jour. Selon les besoins de l’entreprise ou du particulier, il convient donc de vérifier la pertinence de ce CMS.

WordPress est la star incontestée du web. Son ergonomie, la richesse de ses templates (réactifs, gratuits ou payants), la myriade d’extensions, ses capacités en référencement séduisent. Revers de la médaille, il concentre l’essentiel des cyberattaques et devient rapidement lent. Les propriétaires de sites WordPress ont la fâcheuse tendance à accumuler les extensions inutiles, souvent sans les mettre à jour. Selon les besoins de l’entreprise ou du particulier, il convient donc de vérifier la pertinence de ce CMS.

Source : The Hacker News

Mérouan Goumiri

Mérouan Goumiri

Amateur de séries, de cinéma et de nouvelles technologies, c’est mon penchant pour le jeu vidéo qui a eu raison de moi. Me perdre entre Libertalia, les mers de Sea of Thieves et Kaer Morhen, telle est...

Lire d'autres articles

Amateur de séries, de cinéma et de nouvelles technologies, c’est mon penchant pour le jeu vidéo qui a eu raison de moi. Me perdre entre Libertalia, les mers de Sea of Thieves et Kaer Morhen, telle est la vie que j’ai décidé de mener entre la rédaction de deux articles.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (10)

Blap
Comme dans plein de domaines, c’est le coût de la dette technologique. Les devs ne mettent pas à jour leurs compétence mais ce sont les clients et utilisateurs qui trinquent.<br /> Ca fait longtemps que les SSG existent et remplacent largement WordPress sans les soucis de sécurité… Mais il faut prendre le temps de les apprendre en tant que dev.<br /> Pour une immense majorité, ca devrait remplacer les sites WordPress, c’est beaucoup moins cher et energivore sur le long terme en plus
karmentic
Qu’est ce que tu appelles les SSG ? Laravel genre ?
Blap
Laravel n’a pas l’air d’etre un Static Site Generator, meme si certains l’ont détourné dans ce but.<br /> Je parle de Hugo, Jekyll, Gatsby, Eleventy
benbart2
J’avoue que les CMS PHP hyperlourd … je m’en suis détourné depuis un moment.<br /> Cependant, le soucis se porte sur un theme Wordpress, je pense qu’il y aurai toujours les mêmes problématiques SSG ou CMS à papa.<br /> PS : Je jette pas la pierre aux CMS, juste que le coté dynamique, on en a pas forcément besoin en fonction de ce qu’on veux faire/
kellog89
SSG pour du contenu statique. C’est rarement le cas dans le milieu professionnel
Blap
Le principe d’un SSG c’est que c’est quasiment impiratable. Le principal moyen d’avoir un souci c’est si l’hebergeur a un problème de sécurité ou si on se fait piquer nos mots de passe.<br /> C’est du HTML basique, il n’y a aucun PHP ou autre.
benbart2
justement, c’est ce qui est remis en cause, d’ailleurs des sites vitrines en SSG c’est pas nouveau.
Blap
C’est tout le contraire, avec les SSG il y a plus de 10 ans et la Jamstack plus «&nbsp;récemment&nbsp;» le milieu pro a complètement viré de bord. C’est surtout les mauvais dev qui ne se sont pas mis a jour.<br /> Un SSG ne veut pas forcement dire contenu statique. Tu peux avoir un CMS sur un site statique et donc avoir du contenu dynamique. Pas besoin de demander a un dev de tripatouiller le code pour publier un article
benbart2
On est jamais à l’abri d’un RCE, un vhost foireux, un htaccess douteux.<br /> Étant hébergeur et admin sys linux, on vois de tout.<br /> J’ai déjà vu quelqu’un accéder à la RAM d’un serveur juste avec une page web static.<br /> Cela dit, en effet sans PHP, ça fait de la RAM en plus et une surface d’exposition plus petite.<br /> On sera d’accords sur ce point
eKyNoX
Bricks n’est pas un thème mais un plugin plutôt. Pas vraiment la même chose. Je trouvais étrange que 25000 sites possédaient le même thème …
MattS32
Bricks est effectivement un plugin, mais qui sert à personnaliser le style du site, donc c’est fonctionnellement comparable à un thème.<br /> Et non, il n’y aurait rien de surprenant à ce que 25 000 sites utilisent le même themes… Il y a des thèmes qui dépassent le million d’installations actives : Thèmes WordPress | WordPress.org Français
Voir tous les messages sur le forum

Top hébergeurs web

Hostinger
Hostinger Voir l'offre
Infomaniak
Infomaniak Voir l'offre
O2switch
O2switch Voir l'offre
  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Mastodon, l'alternative libre à Twitter, victime d'une faille critique Mastodon, l'alternative libre à Twitter, victime d'une faille critique
Les sites internet de La Poste ont subi une énorme panne, qui serait due à une attaque informatique de type DDoS Les sites internet de La Poste ont subi une énorme panne, qui serait due à une attaque informatique de type DDoS
Une grosse faille de sécurité sur Android ! À vos smartphones pour les mettre à jour Une grosse faille de sécurité sur Android ! À vos smartphones pour les mettre à jour
Mettez vite à jour Google Chrome pour corriger une faille qui prend le contrôle de votre PC ! Mettez vite à jour Google Chrome pour corriger une faille qui prend le contrôle de votre PC !
Immortalisez votre présence en ligne avec un domaine WordPress valable 100 ans Immortalisez votre présence en ligne avec un domaine WordPress valable 100 ans