Sur WordPress, ce plugin vérolé depuis plus d'un an est toujours vecteur d'attaques

Nathan Le Gohlisse
Spécialiste Hardware
19 juillet 2022 à 15h25
3
Wordpress Plugin-1 © © Souvik Banerjee - Unsplash
© Souvik Banerjee - Unsplash

Une faille non corrigée contenue dans un simple plugin fait souffler comme un vent de panique sur WordPress. Plus de 400 000 tentatives d'exploitation de cette brèche sont maintenant identifiées chaque jour par Wordfence.

Kaswara Modern WPBakery Page Builder Addons, c'est le nom d'un plugin qui fait grand bruit depuis quelques jours auprès des chercheurs en sécurité officiant sur WordPress. Ce module d'extension recèle en effet une faille découverte en avril 2021… qui n'a, à ce jour, toujours pas été comblée. Et depuis début juillet, des pirates tentent activement d'en tirer parti.

Wordfence tire la sonnette d'alarme…

Identifiée avec la référence CVE-2021-24284, cette faille est considérée comme critique. Elle peut en effet permettre le téléchargement de fichiers arbitraires non authentifiés pouvant à leur tour être exploités pour obtenir l'exécution de code. Des hackers peuvent donc, par ce biais, prendre potentiellement le contrôle des sites web qui utilisent le plugin vérolé.

Wordpress faille © © Wordfence
© Wordfence

Et, en l'occurrence, il en existe beaucoup. D'après Wordfence, entre 4 000 et 8 000 sites ont installé ce plugin, qui n'est d'ailleurs plus soutenu par ses développeurs. Plus inquiétant encore, on apprend qu'une moyenne de 443 868 attaques visant à exploiter cette faille sont menées chaque jour depuis le début du mois, et via un peu plus de 10 000 adresses IP différentes. TheHackerNews rapporte toutefois que la plupart de ces tentatives émanent en réalité de 10 adresses IP.

Faute de correctif dans l'immédiat, si vous utilisez le plugin Kaswara Modern WPBakery Page Builder Addons sur votre site, il est donc fortement conseillé de le supprimer.

Source : TheHackerNews

WordPress
  • Apprentissage rapide
  • Des milliers de thèmes
  • Presque 60 000 extensions

WordPress est la star incontestée du web. Son ergonomie, la richesse de ses templates (réactifs, gratuits ou payants), la myriade d’extensions, ses capacités en référencement séduisent. Revers de la médaille, il concentre l’essentiel des cyberattaques et devient rapidement lent. Les propriétaires de sites WordPress ont la fâcheuse tendance à accumuler les extensions inutiles, souvent sans les mettre à jour. Selon les besoins de l’entreprise ou du particulier, il convient donc de vérifier la pertinence de ce CMS.

WordPress est la star incontestée du web. Son ergonomie, la richesse de ses templates (réactifs, gratuits ou payants), la myriade d’extensions, ses capacités en référencement séduisent. Revers de la médaille, il concentre l’essentiel des cyberattaques et devient rapidement lent. Les propriétaires de sites WordPress ont la fâcheuse tendance à accumuler les extensions inutiles, souvent sans les mettre à jour. Selon les besoins de l’entreprise ou du particulier, il convient donc de vérifier la pertinence de ce CMS.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
3
4
bennukem
Même si j’ai bien conscience que c’est un module qui pose soucis, qu’elle daubasse ce WordPress. Il a fait son temps, faut l’enterrer.<br /> De plus, supprimer WPBakery Page Builder sous entend, dégommer le design de son site. Pas grand monde osera, et ça continuera jusqu’à ce que la faille soit corrigée. Dans 1000 ans, et pour ceux avec une version légitime.<br /> Yep, j’en ai marre de voir des landing page de 35 mo qui rame car des elementor et ses copains
octokitty
Kaswara c’est un addon de WPBakery Page Builder. L’éditeur devrait retirer le produit de son store alors qu’il est toujours disponible à l’achat sur leur site. En fait, tout produit faisant objet d’un CVE et non mis à jour après un certain temps devrait être retiré du marché, même si une solution communautaire est proposée.
thibotus01
Beau troll ou vous avez une grande méconnaissance de Wordpress.
bennukem
Malheureusement je le connais que trop bien. A époque pour remplacer spip ça allait (ça date pas de hier). Sauf que le monde tourne et wp reste à la traîne.<br /> La dernière fois que j’ai dev dessus, ça râlait même pas lors d’une connerie avec un Hook qui ne vérifie pas les arguments. Et wp c’est que ça, du manque de rigueur a tous les étages etc.<br /> Je vois même pas le souci de laisser creuver ce truc et passer à autre chose.<br /> Le nombre de clients qui veulent du WordPress car ils ont vous une c’était « facile », ça fait peur. Bref, suffit de leur montrer des WordPress qui rame systématiquement, même en http3. Pas la peine de me parler d’un varnish, tous les clients ne peuvent pas avoir ça
mrassol
Mouais, je fais du WP au quotidien, et les WP qui rament, c’est surtout car c’est dev n’importe comment et sur un hébergement lent.
bennukem
Un WordPress fraîchement installé sans plugin est déjà une vraie limace.<br /> Et malheureusement avec WordPress, les clients veulent toutes une chiée de plugin moisi car de toutes façons, ils ont pas le budget pour dev des trucs clean.<br /> Ceux qui ont le budget ne restent pas sous WordPress d’ailleurs
mrassol
bennukem:<br /> Un WordPress fraîchement installé sans plugin est déjà une vraie limace.<br /> Qu’est ce qui faut pas entendre …<br /> J’ai l’impression d’entendre un de mes ancien dev m’expliquer avoir réinventer la roue …
bennukem
Je t’en pris, montre moi un site qui va vite avec WordPress. Évidemment en prenant en compte ce que j’ai dit avant, pas de système de cache. Un truc plus ou moins fraîchement installé. Et évidemment, dans le budget d’un client sans sous qui peut rien s’offrir de mieux.<br /> Tout le monde sais qu’un WordPress par défaut galère avec ses 50req/seconde. Et quasi tous les WordPress du monde son comme ça.<br /> Dans les pire que j’ai pu voir, entre 1.7 et 3 seconde pour générer le HTML de la homepage… Mais c’est pas si rare.<br /> Mais si tu aimes WordPress, que c’est ton gagne pain, change surtout pas. Si en parallèle il y a tant de CMS qui arrivent à convaincre du monde de laisser tomber wp qui a un monopole, c’est peut être qu’il y a un truc, non ?
Voir tous les messages sur le forum

Derniers actualités

Très belle remise sur cette barre de son et son caisson de basse
Ford teste une nouvelle technologie de feux avant révolutionnaire
pCloud propose des réductions à couper le souffle sur ses solutions de stockage en ligne (-80%)
Pour la rentrée, cet écran gamer Samsung Odyssey G5 32 pouces est à prix fou !
Sony travaillerait sur un launcher PlayStation pour PC
Vous pouvez maintenant essayer Spotify gratuitement pendant 3 mois
Un smartphone dans sa version Pro à moins de 200€ ça vous intéresse ?
Ryzen 7000 : AMD confirme la présentation officielle de ses CPU le 30 août prochain
Combien de temps faut-il pour pirater une carte bancaire ?
Signal : des numéros de téléphone d'utilisateurs dans la nature (et ce n'est pas la faute de l'app)
Haut de page