🔴 Soldes : jusqu'à - 70% sur le high-tech 🔴 Soldes d'hiver : jusqu'à - 70% sur le high-tech

WordPress : une nouvelle alerte de sécurité recensant plus de 20 failles

09 janvier 2023 à 12h30
2
Wordpress
© WordPress

Un nouveau malware sème la zizanie sur les sites WordPress. Signalée par la société Dr Web, la souche exploite une vingtaine de failles présentes dans les plugins et thèmes installés sur le fameux CMS. Si ce n'est pas déjà fait, une mise à jour des applications obsolètes est plus que recommandée.

Les sites WordPress utilisant des versions obsolètes de plugins ou de thèmes subissent les attaques d'un nouveau malware Linux. Ce dernier injecte du code Javascript au sein des pages web et redirige les visiteurs vers des domaines malveillants.

Des portes dérobées vers des sites malveillants

La semaine dernière, un rapport de la société de sécurité russe Dr Web a dévoilé l'existence d'un nouveau malware Linux, qui exploite près d'une trentaine de failles présentes dans des plugins et thèmes WordPress. Si ces derniers ne sont pas à jour, du code Javascript est injecté dans le site. Lorsque les visiteurs cliquent sur une page infectée, quelle que soit la zone, ils sont redirigés vers des domaines choisis par les cybercriminels. En tout, plus de 1 300 sites web ont déjà été victimes de ce malware.

Il existerait actuellement deux versions de ce logiciel malveillant, nommées respectivement Linux.BackDoor.WordPressExploit.1 et Linux.BackDoor.WordPressExploit.2. La seconde utilise un domaine et un serveur différents, et vise des extensions additionnelles. Les experts de Dr Web ont également indiqué que les souches incluraient du code destiné à attaquer par force brute les comptes administrateurs. Ce dernier est, pour l'heure, non implémenté, mais la prudence reste de mise.

Les plugins et thèmes à mettre à jour d'urgence

Afin d'éviter d'être infecté par ce nouveau malware, il est impératif de vérifier que vos plugins et thèmes sont bien à jour. Voici les extensions susceptibles d'être attaquées :

  • WooCommerce
  • WP LiveChat et WP Live Chat Support Plugin
  • Page Coming Soon et Mode Maintenance
  • Yuzo Related Posts Plugin
  • Yellow Pencil : Visual CSS Editor
  • Easy SMTP
  • WP GDPR Compliance
  • Thim Core by ThimPress
  • Smart Google Code Inserter
  • Total Donations Plugin for WordPress
  • Post Custom Templates Lite - WordPress Plugin
  • WP Quick Booking Manager by WPProducts
  • Facebook Live Chat by Zotabox
  • Blog Designer : WordPress Blog Plugin
  • Ultimate FAQ (CVE-2019-17232 et CVE-2019-17233)
  • WP-Matomo Integration
  • ND Shortcodes - Extension WordPress
  • Brizy - Page Builder
  • FV Flowplayer Video Player - WordPress Plugin
  • Simple Fields - Custom Fields Plugin
  • Delucks SEO - Extension WordPress
  • Poll, Survey, Form & Quiz Maker by Opinion Stage
  • Social Metrics Tracker
  • WPeMatico
  • Rich Reviews by Starfish plugin for WordPress
  • Thème Newspaper (CVE-2016-10972)
  • Thème WordPress OneTone
  • Hybride

Ce n'est malheureusement pas la première ni la dernière fois que le renommé CMS WordPress essuie les attaques de cybercriminels. Pour éviter les déconvenues, il est important de veiller à ce que votre système soit toujours bien à jour.

Il existe un grand nombre d'extensions à télécharger pour WordPress. Toutes ont leur utilité, mais il est parfois difficile de faire le bon choix dans cette jungle numérique. Voici une sélection de nos vingt plugins WordPress préférés.
Lire la suite

Source : The Hacker News

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
2
3
cluclu56
Donc contrairement au titre, ce n’est pas Wordpress mais les plugins et les thèmes utilisés sur Wordpress qui sont concernés par une faille de sécurité… Encore un article bâclé par la rédaction.
balou06
Effet d’annonce sans doute, rien de grave ,il suffit de lire l’article. Et n’importe quel admin responsable fera des mises à jour régulières et évitera de multiplier les extensions et thèmes.
Voir tous les messages sur le forum

Derniers actualités

Lara Croft bientôt de retour dans une série Tomb Raider !
Samsung dévoile le premier écran plat Mini-LED pour joueurs, et il ne fait pas les choses à moitié
Profitez dès maintenant de ce kit RAM Corsair à son prix le plus pendant les soldes d'hiver !
Epic fail : un voleur se prend en selfie avec un iPhone fraîchement dérobé… et se fait arrêter
Vous avez vu ? L'app Google se fait une beauté sur Android !
Surveillance : comment ces vêtements peuvent vous invisibiliser aux yeux de la reconnaissance faciale
Faites vos valises ! Des hôtels e-sport en Chine s'équipent en GeForce RTX 4090
Sous la pression d’avocats humains, l'intelligence artificielle ne pourra finalement pas plaider
Xavier Niel : pourquoi le fondateur de Free veut investir dans Brut
Comprendre les avantages d'un VPN : voici un guide pour les débutants
Haut de page