Une faille non corrigée contenue dans un simple plugin fait souffler comme un vent de panique sur WordPress. Plus de 400 000 tentatives d'exploitation de cette brèche sont maintenant identifiées chaque jour par Wordfence.
Kaswara Modern WPBakery Page Builder Addons, c'est le nom d'un plugin qui fait grand bruit depuis quelques jours auprès des chercheurs en sécurité officiant sur WordPress. Ce module d'extension recèle en effet une faille découverte en avril 2021… qui n'a, à ce jour, toujours pas été comblée. Et depuis début juillet, des pirates tentent activement d'en tirer parti.
Wordfence tire la sonnette d'alarme…
Identifiée avec la référence CVE-2021-24284, cette faille est considérée comme critique. Elle peut en effet permettre le téléchargement de fichiers arbitraires non authentifiés pouvant à leur tour être exploités pour obtenir l'exécution de code. Des hackers peuvent donc, par ce biais, prendre potentiellement le contrôle des sites web qui utilisent le plugin vérolé.
Et, en l'occurrence, il en existe beaucoup. D'après Wordfence, entre 4 000 et 8 000 sites ont installé ce plugin, qui n'est d'ailleurs plus soutenu par ses développeurs. Plus inquiétant encore, on apprend qu'une moyenne de 443 868 attaques visant à exploiter cette faille sont menées chaque jour depuis le début du mois, et via un peu plus de 10 000 adresses IP différentes. TheHackerNews rapporte toutefois que la plupart de ces tentatives émanent en réalité de 10 adresses IP.
Faute de correctif dans l'immédiat, si vous utilisez le plugin Kaswara Modern WPBakery Page Builder Addons sur votre site, il est donc fortement conseillé de le supprimer.
Source : TheHackerNews
- Apprentissage rapide
- Des milliers de thèmes
- Presque 60 000 extensions
WordPress est la star incontestée du web. Son ergonomie, la richesse de ses templates (réactifs, gratuits ou payants), la myriade d’extensions, ses capacités en référencement séduisent. Revers de la médaille, il concentre l’essentiel des cyberattaques et devient rapidement lent. Les propriétaires de sites WordPress ont la fâcheuse tendance à accumuler les extensions inutiles, souvent sans les mettre à jour. Selon les besoins de l’entreprise ou du particulier, il convient donc de vérifier la pertinence de ce CMS.
WordPress est la star incontestée du web. Son ergonomie, la richesse de ses templates (réactifs, gratuits ou payants), la myriade d’extensions, ses capacités en référencement séduisent. Revers de la médaille, il concentre l’essentiel des cyberattaques et devient rapidement lent. Les propriétaires de sites WordPress ont la fâcheuse tendance à accumuler les extensions inutiles, souvent sans les mettre à jour. Selon les besoins de l’entreprise ou du particulier, il convient donc de vérifier la pertinence de ce CMS.
Passionné de nouvelles technos, d'Histoire et de vieux Rock depuis tout jeune, je suis un PCiste ayant sombré corps et biens dans les délices de macOS. J'aime causer Tech et informatique sur le web, ici et ailleurs. N’hésitez pas à me retrouver sur Twitter !
Lire d'autres articles
