WordPress : une mise à jour forcée pour combler une faille critique sur le plug-in Updraft Plus

22 février 2022 à 17h30
12
cybersécurité faille vulnérabilité © madartzgraphics / Pixabay

En fin de semaine dernière, des millions de sites WordPress utilisant le plugin UpdraftPlus ont reçu de force une mise à jour afin de corriger une vulnérabilité critique qui pouvait permettre à n'importe quel utilisateur enregistré de récupérer, entre autres, les base de données.

La vulnérabilité a pu être rapidement corrigée grâce à l'intervention d'un analyste en sécurité qui opérait alors un audit sur ledit plugin.

Une vulnérabilité dangereuse et facile à exploiter

Avec ses plus de trois millions d'installations actives, UpdraftPlus est un des plugins ayant le plus de succès pour les sites sur WordPress. Il permet très simplement d'organiser et de planifier des sauvegardes et des restaurations des sites qui l'utilisent. La semaine dernière, l'analyste en sécurité Marc Montpas, alors qu'il opérait un audit sur le plugin, s'est aperçu d'une grave vulnérabilité entraînée par un bug. Il a immédiatement contacté l'équipe de développement.

Pour résumer, la vulnérabilité permettait à n'importe quel utilisateur ayant un compte enregistré sur un site utilisant UpdraftPlus d'envoyer, côté serveur, une requête spécifique dupant la vérification de celle-ci et donnant alors l'accès à l'utilisateur au dossier options-general.php, accessible en temps normal aux seuls administrateurs.

Avec cette manipulation, il était possible de récupérer des versions précédentes de n'importe quel site ou leur base de données, et ainsi d'obtenir nombre d'informations sensibles comme les identifiants, les adresses mail ou les adresses IP. Au total, en une semaine, ce sont près de trois millions de sites qui ont obtenu la mise à jour de correction, de force ou à la main par les administrateurs.

Source : Ars Technica

Envie de créer un site web, à titre personnel ou professionnel ? Le gestionnaire de contenu (ou CMS) est devenu incontournable. Il existe des centaines de CMS sur le marché : gratuits, open source, payants, hébergés… Un vrai casse-tête pour les distinguer. Voici notre sélection des meilleurs CMS pour créer son site facilement !
Lire la suite

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (12)

mrassol
dites moi pourquoi vous utilisez cet outil ?<br /> un dump SQL et un zip du contenu, c’est 5 minutes et c’est loché.<br /> pour la migration ? pareil, un zip et un dump, et en 5 minutes vous retrouvez le site comme avant
Blap
Pas besoin de plugins pour faire des backups periodiques, c’est meme plutôt déconseillé<br /> J’irai meme plus loin, passez aux générateurs de sites statiques
_anael
Il y a beaucoup d’hébergeurs qui n’offrent pas d’accès shell.<br /> Bien qu’avec les panels propriétaires, il y a souvent une option pour gérer la base de données et au moins un accès webFTP.
benben99
Voilà pourquoi il est mieux de faire son site soi même. Wordpress est une passoire en termes de sécurité.<br /> C’est bon pour ceux qui ne savent pas programmer, mais une horreur à sécuriser.
mrassol
Dev ? Réinventer la roue c’est le propre du dev …<br /> Je ne fais que du WP, j’ai une 50 aine de sites a mon actif, aucun n’a été piraté … pourquoi ? Je n’utilise pas de plugins tordus ou qui facilitent la vie (genre y’a besoin d’un plugin pour faire une redirection HTTP &gt; HTTPS de son site …) et je les mets a jour régulièrement.
Stigma_Max
Je n’utilise pas ce plugin, pourtant mon site a été automatiquement mis à jour ce matin.
mrassol
Ca c’est normal, c’est une mise a jour de Wordpress et non du plugin
Space_Boy
Je fais ça:<br /> 1 plugin WP qui fait un daily backup de la base + 1 weekly de tout → une fois/mois je DL sur mon NAS<br /> mon hoster fait aussi des backups de toutes les DB + files.<br /> UpdateDraftPlus est sans doute encore une autre grosse usine à gaz pour Wordpress.
kellog89
Avec quel outil par exemple ?
kellog89
Mieux de faire son site soi-même, peut-être.<br /> Mais question de temps et de maintenance par quelqu’un d’autre, les sites WP ont beaucoup d’avantages
kellog89
« 1 plugin WP qui fait un daily backup de la base + 1 weekly de tout », c’est à peu près ce que fait Updraftplus, à part .htaccess …<br /> Quel plugin fait un weekly de tout svp?
Space_Boy
" BackUpWordPress". Simple, choix entre database et/ou fichiers. Je l’ai depuis des années et ç marche sans problèmes.
kellog89
Côté OS t’as pas la main chez un hébergeur.
kellog89
Merci, j’essaierai.<br /> Un avantage de Updraftplus est que tu peux sauvegarder directement sur le cloud mais peut être que BackupWordpress le fait aussi
kellog89
Tu proposes quoi comme solution ? Plus précisément
Space_Boy
pas de cloud. Juste dans un folder genre « backups » en dehors du folder d’install de Wordpress.
Voir tous les messages sur le forum