Les sites Wordpress ont subi une vague de hacking ces deux dernières semaines

Matthieu Legouge
Spécialiste Hardware
05 mars 2020 à 12h47
5
Wordpress

Être le principal outil de création de sites web plébiscité par les entreprises et autres créatifs ne va pas sans mal ! Le célèbre CMS a subi une recrudescence d'attaques ces dernières semaines, visant en particulier ses nombreux plugins.

Au coude-à-coude avec Adobe Experience Manager et loin devant des solutions comme Drupal, Joomla ou Sitecore, Wordpress jouit d'une grande popularité chez les éditeurs de sites, notamment grâce à son interface simple d'utilisation et ses nombreux plugins. Hébergeant entre 30 et 35 % de l'ensemble des sites internet mondiaux, nul doute que Wordpress est également une cible de choix pour les hackers.


Une cible privilégiée des hackers

Ce sont justement les plugins, très prisés des éditeurs, qui font régulièrement l'objet d'attaques malveillantes. Si le CMS n'est ici pas directement mis en cause, force est de constater que la majorité des sites web piratés tournent sur Wordpress, si bien que l'annonce de vulnérabilités et autres failles est monnaie courante.

Après une petite période de calme fin 2019, les attaques ont repris leur rythme de croisière. Diverses entreprises proposant des services de cybersécurité pour Wordpress, notamment NinTechNet, WebARX et Wordfence, ont fait état d'un grand nombre d'attaques ces deux dernières semaines.

Les hackers ont ainsi réussi à exploiter plusieurs bugs et vulnérabilités dans divers plugins, qui ont depuis reçu (à l'exception d'un) les correctifs nécessaires. Certains groupes d'assaillants ont également tenté d'exploiter des failles zero day, autrement dit des vulnérabilités qui n'ont pas encore été découvertes par les éditeurs de plugins eux-mêmes et qui ne peuvent donc être patchées.


Procédez vite aux mises à jour !

Un peu moins d'une dizaine de plugins est actuellement concernée par ces attaques. Parmi eux, on retrouve Duplicator, l'un des plugins les plus populaires sur Wordpress. Connue depuis mi-février, la faille a récemment été corrigée avec la version 1.3.28 du plugin. À l'heure de l'attaque, plus d'un million de sites utilisaient Duplicator.

Profile Builder paie lui aussi les frais d'un bug dans ses versions professionnelles et gratuites. Un correctif a été appliqué dans la dernière version du plugin, mais plus de 65 000 sites seraient encore vulnérables.

Les fournisseurs de thèmes ne sont pas exempts d'attaques ! Ainsi ThemeGrill Demo Importer comporte une faille permettant aux hackers de supprimer et prendre le contrôle des sites web où le plugin est installé. La mise à jour vers la v1.6.3 doit être installée le plus rapidement possible. 200 000 sites sont concernés. ThemeREX est également la cible des assaillants, à l'heure actuelle aucun correctif n'a encore été appliqué, la meilleure solution est donc de désinstaller ce plugin sans plus attendre.

Les hackers ont exploité plusieurs failles zero day, notamment sur Flexible Checkout Fields for WooCommerce. Heureusement la vulnérabilité a récemment été corrigée. Les plugins Async JavaScript, 10Web Map Builder pour Google Maps, Modern Events Calendar Lite ont aussi été touchés par des failles zero day, des correctifs ont été apportés, mais Wordfence explique que les attaques ont débuté avant leur déploiement, ce qui signifie que de nombreux sites ont potentiellement été compromis.

Source : zdnet.com
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
5
5
Voir tous les messages sur le forum

Actualités du moment

Suzuki pourrait sortir son premier scooter électrique en 2021
Starz annule sa série The Rook après une seule saison
La Commission européenne propose une loi sur le climat, avec un objectif neutralité carbone en 2050
The Batman : Matt Reeves dévoile de premiers clichés de la Batmobile
L'Inde fait la paix avec les cryptomonnaies
Gravement touchée par l'épidémie de coronavirus, la compagnie aérienne Flybe met la clé sous la porte
General Motors travaille sur de nouvelles batteries à moindre coût pour ses véhicules électriques
Roller Champions, le jeu de roller compétitif d'Ubisoft, se montre un peu plus en vidéo
L'enceinte Ultimate Ears Boom 2 Lite plus abordable que jamais !
Bon plan PlayStation 4 : Amazon casse une nouvelle fois les prix sur la console Sony
Haut de page