Les sites Wordpress ont subi une vague de hacking ces deux dernières semaines

Matthieu Legouge
Spécialiste Hardware
05 mars 2020 à 12h47
5
Wordpress

Être le principal outil de création de sites web plébiscité par les entreprises et autres créatifs ne va pas sans mal ! Le célèbre CMS a subi une recrudescence d'attaques ces dernières semaines, visant en particulier ses nombreux plugins.

Au coude-à-coude avec Adobe Experience Manager et loin devant des solutions comme Drupal, Joomla ou Sitecore, Wordpress jouit d'une grande popularité chez les éditeurs de sites, notamment grâce à son interface simple d'utilisation et ses nombreux plugins. Hébergeant entre 30 et 35 % de l'ensemble des sites internet mondiaux, nul doute que Wordpress est également une cible de choix pour les hackers.


Une cible privilégiée des hackers

Ce sont justement les plugins, très prisés des éditeurs, qui font régulièrement l'objet d'attaques malveillantes. Si le CMS n'est ici pas directement mis en cause, force est de constater que la majorité des sites web piratés tournent sur Wordpress, si bien que l'annonce de vulnérabilités et autres failles est monnaie courante.

Après une petite période de calme fin 2019, les attaques ont repris leur rythme de croisière. Diverses entreprises proposant des services de cybersécurité pour Wordpress, notamment NinTechNet, WebARX et Wordfence, ont fait état d'un grand nombre d'attaques ces deux dernières semaines.

Les hackers ont ainsi réussi à exploiter plusieurs bugs et vulnérabilités dans divers plugins, qui ont depuis reçu (à l'exception d'un) les correctifs nécessaires. Certains groupes d'assaillants ont également tenté d'exploiter des failles zero day, autrement dit des vulnérabilités qui n'ont pas encore été découvertes par les éditeurs de plugins eux-mêmes et qui ne peuvent donc être patchées.


Procédez vite aux mises à jour !

Un peu moins d'une dizaine de plugins est actuellement concernée par ces attaques. Parmi eux, on retrouve Duplicator, l'un des plugins les plus populaires sur Wordpress. Connue depuis mi-février, la faille a récemment été corrigée avec la version 1.3.28 du plugin. À l'heure de l'attaque, plus d'un million de sites utilisaient Duplicator.

Profile Builder paie lui aussi les frais d'un bug dans ses versions professionnelles et gratuites. Un correctif a été appliqué dans la dernière version du plugin, mais plus de 65 000 sites seraient encore vulnérables.

Les fournisseurs de thèmes ne sont pas exempts d'attaques ! Ainsi ThemeGrill Demo Importer comporte une faille permettant aux hackers de supprimer et prendre le contrôle des sites web où le plugin est installé. La mise à jour vers la v1.6.3 doit être installée le plus rapidement possible. 200 000 sites sont concernés. ThemeREX est également la cible des assaillants, à l'heure actuelle aucun correctif n'a encore été appliqué, la meilleure solution est donc de désinstaller ce plugin sans plus attendre.

Les hackers ont exploité plusieurs failles zero day, notamment sur Flexible Checkout Fields for WooCommerce. Heureusement la vulnérabilité a récemment été corrigée. Les plugins Async JavaScript, 10Web Map Builder pour Google Maps, Modern Events Calendar Lite ont aussi été touchés par des failles zero day, des correctifs ont été apportés, mais Wordfence explique que les attaques ont débuté avant leur déploiement, ce qui signifie que de nombreux sites ont potentiellement été compromis.

Source : zdnet.com
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
5
5
Blap
Une des raisons pour laquelle je me suis tourné vers les générateurs de sites statiques. Plus sécurisé, performant, possibilité d’avoir un site en ligne en quelques heures avec hébergement gratuit, voire quelques minutes avec des services comme Netlify
mrassol
eteinds ton ordi et sort ta feuille et ton crayon …
St_uf
Que ça soit des OS ou des CMS, les tipiaks avec leurs bots visent en priorité les trucs les plus répandus.<br /> Il y a un paquet de sites qui tournent sur des cms maison sécurisé avec les pieds, mais qui sont pratiquement jamais hack. Alors que des site avec WP et autres machin-BB etc, bien que 10 fois mieux sécurisés, ils ont plus de chances de voir un bot passer pour essayer de mettre le boxon.<br /> Si un effort est fait sur la sécurité (extensions de sécurité, maj fréquentes de Wordpress ET des plugins etc) tout devrait bien se passer, après si il n’y a plus de capitaine à la barre, faudra pas s’étonner de se manger un iceberg un jour ^^
Blap
Ce serait pas mal. Mais quand un produit ne t’apporte que des avantages c’est con de cracher dessus. Encore faut-il se renseigner dessus plutot que de troller sur Internet, ce qui est il faut l’avouer, beaucoup plus facile.
Voir tous les messages sur le forum

Actualités du moment

Starz annule sa série The Rook après une seule saison
Où acheter le casque sans fil Beats Solo3 au meilleur prix ?
The Batman : Matt Reeves dévoile de premiers clichés de la Batmobile
Demain, des vêtements qui permettent de suivre votre état de santé ?
La Commission européenne propose une loi sur le climat, avec un objectif neutralité carbone en 2050
Apple retire discrètement le serveur web Zoom caché via une mise à jour sur Mac
Black Friday Amazon : Microsoft Surface Pro 7 à 799€ au lieu de 1069€
Comment régler les couleurs de son écran PC ?
4 techniques simples pour nettoyer son PC
Alimentation de 850 W pour le multi-GPU chez Corsair
Haut de page