WordPress : une mise à jour forcée pour combler une faille critique sur le plug-in Updraft Plus

22 février 2022 à 17h30
12
cybersécurité faille vulnérabilité © madartzgraphics / Pixabay

En fin de semaine dernière, des millions de sites WordPress utilisant le plugin UpdraftPlus ont reçu de force une mise à jour afin de corriger une vulnérabilité critique qui pouvait permettre à n'importe quel utilisateur enregistré de récupérer, entre autres, les base de données.

La vulnérabilité a pu être rapidement corrigée grâce à l'intervention d'un analyste en sécurité qui opérait alors un audit sur ledit plugin.

Une vulnérabilité dangereuse et facile à exploiter

Avec ses plus de trois millions d'installations actives, UpdraftPlus est un des plugins ayant le plus de succès pour les sites sur WordPress. Il permet très simplement d'organiser et de planifier des sauvegardes et des restaurations des sites qui l'utilisent. La semaine dernière, l'analyste en sécurité Marc Montpas, alors qu'il opérait un audit sur le plugin, s'est aperçu d'une grave vulnérabilité entraînée par un bug. Il a immédiatement contacté l'équipe de développement.

Pour résumer, la vulnérabilité permettait à n'importe quel utilisateur ayant un compte enregistré sur un site utilisant UpdraftPlus d'envoyer, côté serveur, une requête spécifique dupant la vérification de celle-ci et donnant alors l'accès à l'utilisateur au dossier options-general.php, accessible en temps normal aux seuls administrateurs.

Avec cette manipulation, il était possible de récupérer des versions précédentes de n'importe quel site ou leur base de données, et ainsi d'obtenir nombre d'informations sensibles comme les identifiants, les adresses mail ou les adresses IP. Au total, en une semaine, ce sont près de trois millions de sites qui ont obtenu la mise à jour de correction, de force ou à la main par les administrateurs.

Source : Ars Technica

Envie de créer un site web, à titre personnel ou professionnel ? Le gestionnaire de contenu (ou CMS) est devenu incontournable. Il existe des centaines de CMS sur le marché : gratuits, open source, payants, hébergés… Un vrai casse-tête pour les distinguer. Voici notre sélection des meilleurs CMS pour créer son site facilement !
Lire la suite

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
12
9
mrassol
dites moi pourquoi vous utilisez cet outil ?<br /> un dump SQL et un zip du contenu, c’est 5 minutes et c’est loché.<br /> pour la migration ? pareil, un zip et un dump, et en 5 minutes vous retrouvez le site comme avant
clockover
Pour une sauvegarde périodique par exemple ?<br /> Je ne connais pas le plugin concerné mais je ferais ça avec un autre outil perso.
Blap
Pas besoin de plugins pour faire des backups periodiques, c’est meme plutôt déconseillé<br /> J’irai meme plus loin, passez aux générateurs de sites statiques
_anael
Il y a beaucoup d’hébergeurs qui n’offrent pas d’accès shell.<br /> Bien qu’avec les panels propriétaires, il y a souvent une option pour gérer la base de données et au moins un accès webFTP.
benben99
Voilà pourquoi il est mieux de faire son site soi même. Wordpress est une passoire en termes de sécurité.<br /> C’est bon pour ceux qui ne savent pas programmer, mais une horreur à sécuriser.
mrassol
Dev ? Réinventer la roue c’est le propre du dev …<br /> Je ne fais que du WP, j’ai une 50 aine de sites a mon actif, aucun n’a été piraté … pourquoi ? Je n’utilise pas de plugins tordus ou qui facilitent la vie (genre y’a besoin d’un plugin pour faire une redirection HTTP &gt; HTTPS de son site …) et je les mets a jour régulièrement.
Stigma_Max
Je n’utilise pas ce plugin, pourtant mon site a été automatiquement mis à jour ce matin.
mrassol
Ca c’est normal, c’est une mise a jour de Wordpress et non du plugin
Space_Boy
Je fais ça:<br /> 1 plugin WP qui fait un daily backup de la base + 1 weekly de tout → une fois/mois je DL sur mon NAS<br /> mon hoster fait aussi des backups de toutes les DB + files.<br /> UpdateDraftPlus est sans doute encore une autre grosse usine à gaz pour Wordpress.
kellog89
Avec quel outil par exemple ?
kellog89
Mieux de faire son site soi-même, peut-être.<br /> Mais question de temps et de maintenance par quelqu’un d’autre, les sites WP ont beaucoup d’avantages
kellog89
« 1 plugin WP qui fait un daily backup de la base + 1 weekly de tout », c’est à peu près ce que fait Updraftplus, à part .htaccess …<br /> Quel plugin fait un weekly de tout svp?
clockover
Un outil lourd (côté OS quoi) pas un truc côté php
Space_Boy
" BackUpWordPress". Simple, choix entre database et/ou fichiers. Je l’ai depuis des années et ç marche sans problèmes.
kellog89
Côté OS t’as pas la main chez un hébergeur.
clockover
J’ai jamais dit que je parlais d’une solution dans ce contexte là
kellog89
Merci, j’essaierai.<br /> Un avantage de Updraftplus est que tu peux sauvegarder directement sur le cloud mais peut être que BackupWordpress le fait aussi
kellog89
Tu proposes quoi comme solution ? Plus précisément
Space_Boy
pas de cloud. Juste dans un folder genre « backups » en dehors du folder d’install de Wordpress.
Voir tous les messages sur le forum

Derniers actualités

Microsoft : plus de 200 000 serveurs e-mails victimes de failles critiques... et toujours pas de patch disponible !
Surprise ! Elon Musk change encore d'avis et accepte de racheter Twitter au prix convenu
Pixel Watch : et maintenant, un unboxing !
Super Mario, le film, à maintenant une affiche officielle !
CD Projekt RED a des projets ambitieux pour Cyberpunk et The Witcher jusqu'à au moins l'année 2077
Bracelet connecté, tablette et intra sans-fil : Xiaomi arrive avec un camion de nouveautés
iPhone 14 Pro et Dynamic Island : le
Maison intelligente : pourquoi le nouveau hub IKEA coûte-t-il deux fois plus cher ?
Avec le Honor Magicbook Pro profitez d'une remise de 50€ sur Microsoft 365 !
Xiaomi présente son Robot Vacuum X10+, pour un nettoyage entièrement automatisé
Haut de page