Un thème WordPress sème la pagaille et expose 25 000 sites à une faille critique, exploitée par les pirates

Mérouan Goumiri
Publié le 21 février 2024 à 10h02
Si vous utilisez le thème Bricks de WordPress, il va falloir rapidement passer à la dernière version © WordPress
Si vous utilisez le thème Bricks de WordPress, il va falloir rapidement passer à la dernière version © WordPress

Il y a quelques jours, une faille de sécurité critique s'est immiscée dans l'un des thèmes de WordPress. Plusieurs milliers de sites sont donc potentiellement exposés à cette vulnérabilité.

Si les alternatives se veulent de plus en plus nombreuses, WordPress demeure toujours parmi les meilleurs gestionnaires de contenus pour créer un site web. Jouissant d'une importante communauté, et proposant un large choix de plugins et de thèmes gratuits, WordPress est aujourd'hui une solution incontournable pour les personnes désirant se lancer dans la création de leur site internet, notamment en raison de sa simplicité d'utilisation.

Mais, depuis quelques jours, un thème est la cible d'une faille de sécurité activement exploitée par les pirates, susceptible d'affecter pas moins de 25 000 sites et dont la gravité a été évaluée à 9,8 sur 10 sur le Common Vulnerability Scoring System (CVSS).

WordPress : le thème Bricks présente une vulnérabilité importante

Le 10 février dernier, un expert en sécurité connu sous le nom de « Snicco » a signalé une faille affectant le thème Bricks de WordPress via la plateforme Patchstack. Cet outil, alimenté par « une communauté de hackers éthiques », aide à identifier les vulnérabilités au sein de l'écosystème WordPress (plugins, thèmes, sites web…).

Identifiée sous le nom CVE-2024-25600, cette vulnérabilité permet à des pirates d'exécuter du code PHP arbitraire à distance, comme cela nous est rapporté par The Hacker News. Par conséquent, ces derniers pourraient s'emparer d'un site sans disposer des informations d'identification de l'utilisateur. Notez au passage que toutes les versions du thème sont concernées jusqu'à la 1.9.6.

Meilleur Hébergeur web, le comparatif en juillet 2024
Meilleur Hébergeur web, le comparatif en juillet 2024
Comment choisir le meilleur hébergeur web ? Clubic a testé et comparé les 10 principaux hébergeurs web au niveau des performances, des pratiques tarifaires, du niveau de fiabilité des infrastructures et de la qualité du service client, afin d'établir un comparatif fiable.

Fort heureusement, les développeurs du thème ont été réactifs et ont rapidement publié la version 1.9.6.1 de Bricks, assurant ainsi aux utilisateurs un moyen de se protéger contre cette vulnérabilité.

Plus de 25 000 sites exposés à une faille critique

Depuis le 13 février, soit seulement quelques jours après le premier signalement, les utilisateurs du thème Bricks peuvent installer les derniers correctifs afin d'atténuer les menaces potentielles. Au 19 janvier, toujours selon les informations rapportées par The Hacker News, près de quarante tentatives d'attaque exploitant la faille avaient déjà été détectées.

Bricks totalisant environ 25 000 installations actives à l'heure où sont écrites ces lignes, les clients du thème ont tout intérêt à installer sans plus attendre la version 1.9.6.1. Plus vous retarderez son installation, plus vous vous exposerez au risque qu'un pirate puisse s'emparer de votre site web. Pour rappel, il vous suffit de vous rendre dans le tableau de bord de WordPress pour installer en un seul clic la mise à jour.

WordPress
  • moodVersion d'essai disponible
  • settingsHébergé / pré-installé
  • storage1 Go à 200 Go de stockage
  • extensionPlugins disponibles
  • format_paintThemes disponibles
  • shopping_bagAdapté aux sites e-commerce
8 / 10
Télécharger
Lire le test

Source : The Hacker News

Par Mérouan Goumiri

Passionné d’écriture depuis de nombreuses années, j’exerce chez Clubic comme rédacteur freelance depuis bientôt trois ans. Féru de nouvelles technologies, j’ai longtemps été bercé par le jeu vidéo. D’ailleurs, vous m’avez peut-être déjà croisé sur la Toile, puisque j’ai été à l’origine d’une chaîne YouTube spécialisée dans le gaming, aujourd’hui disparue…

Articles de Mérouan Goumiri
Hébergeurs web
Wordpress
Actualités High-Tech
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (10)
Blap

Comme dans plein de domaines, c’est le coût de la dette technologique. Les devs ne mettent pas à jour leurs compétence mais ce sont les clients et utilisateurs qui trinquent.

Ca fait longtemps que les SSG existent et remplacent largement WordPress sans les soucis de sécurité… Mais il faut prendre le temps de les apprendre en tant que dev.
Pour une immense majorité, ca devrait remplacer les sites WordPress, c’est beaucoup moins cher et energivore sur le long terme en plus

karmentic

Qu’est ce que tu appelles les SSG ? Laravel genre ?

Blap

Laravel n’a pas l’air d’etre un Static Site Generator, meme si certains l’ont détourné dans ce but.

Je parle de Hugo, Jekyll, Gatsby, Eleventy

benbart2

J’avoue que les CMS PHP hyperlourd … je m’en suis détourné depuis un moment.
Cependant, le soucis se porte sur un theme Wordpress, je pense qu’il y aurai toujours les mêmes problématiques SSG ou CMS à papa.

PS : Je jette pas la pierre aux CMS, juste que le coté dynamique, on en a pas forcément besoin en fonction de ce qu’on veux faire/

kellog89

SSG pour du contenu statique. C’est rarement le cas dans le milieu professionnel

Blap

Le principe d’un SSG c’est que c’est quasiment impiratable. Le principal moyen d’avoir un souci c’est si l’hebergeur a un problème de sécurité ou si on se fait piquer nos mots de passe.

C’est du HTML basique, il n’y a aucun PHP ou autre.

benbart2

justement, c’est ce qui est remis en cause, d’ailleurs des sites vitrines en SSG c’est pas nouveau.

Blap

C’est tout le contraire, avec les SSG il y a plus de 10 ans et la Jamstack plus « récemment » le milieu pro a complètement viré de bord. C’est surtout les mauvais dev qui ne se sont pas mis a jour.

Un SSG ne veut pas forcement dire contenu statique. Tu peux avoir un CMS sur un site statique et donc avoir du contenu dynamique. Pas besoin de demander a un dev de tripatouiller le code pour publier un article

benbart2

On est jamais à l’abri d’un RCE, un vhost foireux, un htaccess douteux.
Étant hébergeur et admin sys linux, on vois de tout.

J’ai déjà vu quelqu’un accéder à la RAM d’un serveur juste avec une page web static.

Cela dit, en effet sans PHP, ça fait de la RAM en plus et une surface d’exposition plus petite.
On sera d’accords sur ce point :wink:

eKyNoX

Bricks n’est pas un thème mais un plugin plutôt. Pas vraiment la même chose. Je trouvais étrange que 25000 sites possédaient le même thème …

Sur le même sujet
Les sites internet de La Poste ont subi une énorme panne, qui serait due à une attaque informatique de type DDoS
4 commentaires
Mastodon, l'alternative libre à Twitter, victime d'une faille critique
4 commentaires
Une grosse faille de sécurité sur Android ! À vos smartphones pour les mettre à jour
8 commentaires
Mettez vite à jour Google Chrome pour corriger une faille qui prend le contrôle de votre PC !
7 commentaires
Immortalisez votre présence en ligne avec un domaine WordPress valable 100 ans
7 commentaires
Facebook
X