Ces 3 plugins WordPress populaires sont ciblés par des pirates, mettez-les à jour !

09 juin 2024 à 15h51
0
3 nouveaux plugins WordPress touchés par des failles critiques © 360b / Shutterstock
3 nouveaux plugins WordPress touchés par des failles critiques © 360b / Shutterstock

Des chercheurs en sécurité ont découvert que des pirates exploitent activement trois vulnérabilités critiques affectant les plugins WordPress WP Statistics, WP Meta SEO et LiteSpeed Cache. Des millions de sites sont menacés par ces failles.

Les doigts de la main ne suffisent plus à les compter. De redoutables attaques visant trois plugins WordPress très populaires sont en cours. Selon les experts du site Fastly, les plugins WP Statistics, WP Meta SEO et une nouvelle fois LiteSpeed Cache présentent des failles de sécurité graves permettant l'injection de code malveillant sur les sites web les utilisant.

Les vulnérabilités en question (CVE-2024-2194, CVE-2023-6961 et CVE-2023-40000) sont des failles XSS stockées non authentifiées. Elles autorisent l'exécution de scripts malveillants depuis des domaines externes contrôlés par les hackers. Ces scripts créent de nouveaux comptes admin, injectent des portes dérobées dans les sites et mettent en place un système de suivi des victimes. Autant dire qu'ils ne laissent aucune donnée leur échapper.

Les meilleurs plugins de sécurité pour Wordpress en 2024
A découvrir
Les meilleurs plugins de sécurité pour Wordpress en 2024
26 mars 2024 à 16:52
Comparatifs services

Des millions de sites web menacés par ces plugins vulnérables

Après LiteSpeed en mars 2024 et LayerSlider en avril 2024, c'est au tour de trois autres plugins WordPress, qui comptent des millions d'installations actives, de présenter de nombreuses versions vulnérables non corrigées. La faille la plus critique concerne le plugin WP Statistics, avec 48 % de ses 600 000 installations exposées. WP Meta SEO totalise 27 % de ses 20 000 installations vulnérables, tandis que LiteSpeed Cache compte 15,7 % de ses 5 millions d'installations non sécurisées.

Le code malveillant injecté fait de graves dégâts. Il compromet totalement les sites web en créant un compte admin pirate, en ajoutant des portes dérobées dans les plugins et thèmes WordPress, et en implémentant un système de suivi des sites infectés. Mais les plugins ne sont pas les seuls éléments du célèbre CMS à être sensibles aux vulnérabilités. En février 2024, une faille dans le thème Bricks exposait 25 000 sites à l'injection de code malveillant, transformant les hackers en administrateurs de ces sites.

Si vous êtes admin d'un site WordPress qui utilise ces plugins, mettez-les vite à jour © David MG / Shutterstock
Si vous êtes admin d'un site WordPress qui utilise ces plugins, mettez-les vite à jour © David MG / Shutterstock

Comment sécuriser son site contre ces attaques ?

Les chercheurs de Fastly recommandent bien sûr la prudence aux admins qui utilisent ces thèmes, leur conseillant de les mettre à jour vers les dernières versions corrigées. Ils doivent ensuite supprimer les dossiers des anciennes versions vulnérables et effectuer un audit complet.

Ils invitent également les propriétaires de ces sites à effectuer une vérification de la présence d'un utilisateur suspect « [email protected] », la recherche du code malveillant injecté (scripts externes, portes dérobées PHP) et la surveillance des requêtes sortantes suspectes (vers ur.mystiqueapi.com notamment).

Si, hélas, il est trop tard et que le site est infecté, il est recommandé d'effectuer une réinstallation complète. Les experts avertissent que ces attaques d'envergure proviennent majoritairement des Pays-Bas, au travers d'un réseau d'adresses IP liées au fournisseur IP Volume Inc.

Ces failles ne font pour autant pas vaciller le géant des CMS. WordPress, qui a soufflé en mai 2023 ses 20 bougies et reste l'éditeur de contenu le plus plébiscité autour du monde. Au printemps 2024, WordPress alimente 43,2 % des sites web mondiaux. Ses pages reçoivent plus de 20 milliards de vues par mois de la part de plus de 409 millions de personnes. À raison de 27 nouvelles publications par seconde, soit 70 millions par mois, générant 77 millions de commentaires, la popularité du CMS ne se dément pas.

WordPress
  • Apprentissage rapide
  • Des milliers de thèmes
  • Presque 60 000 extensions

WordPress est la star incontestée du web. Son ergonomie, la richesse de ses templates (réactifs, gratuits ou payants), la myriade d’extensions, ses capacités en référencement séduisent. Revers de la médaille, il concentre l’essentiel des cyberattaques et devient rapidement lent. Les propriétaires de sites WordPress ont la fâcheuse tendance à accumuler les extensions inutiles, souvent sans les mettre à jour. Selon les besoins de l’entreprise ou du particulier, il convient donc de vérifier la pertinence de ce CMS.

WordPress est la star incontestée du web. Son ergonomie, la richesse de ses templates (réactifs, gratuits ou payants), la myriade d’extensions, ses capacités en référencement séduisent. Revers de la médaille, il concentre l’essentiel des cyberattaques et devient rapidement lent. Les propriétaires de sites WordPress ont la fâcheuse tendance à accumuler les extensions inutiles, souvent sans les mettre à jour. Selon les besoins de l’entreprise ou du particulier, il convient donc de vérifier la pertinence de ce CMS.

Source : Bitdefender, Fastly

Mélina LOUPIA

Modératrice, contributrice et community manager pour le regretté OVNI Le Post, puis journaliste société spécialisée dans la parentalité et la psychologie notamment sur Le HuffPost, l'univers du Web, d...

Lire d'autres articles

Modératrice, contributrice et community manager pour le regretté OVNI Le Post, puis journaliste société spécialisée dans la parentalité et la psychologie notamment sur Le HuffPost, l'univers du Web, des réseaux, des machines connectées et de tout ce qui s'écrit sur Internet s'inscrit dans le champ de mes sujets préférés.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires

Haut de page

Sur le même sujet