WordPress : une nouvelle alerte de sécurité recensant plus de 20 failles

09 janvier 2023 à 12h30
2
© WordPress
© WordPress

Un nouveau malware sème la zizanie sur les sites WordPress. Signalée par la société Dr Web, la souche exploite une vingtaine de failles présentes dans les plugins et thèmes installés sur le fameux CMS. Si ce n'est pas déjà fait, une mise à jour des applications obsolètes est plus que recommandée.

Les sites WordPress utilisant des versions obsolètes de plugins ou de thèmes subissent les attaques d'un nouveau malware Linux. Ce dernier injecte du code Javascript au sein des pages web et redirige les visiteurs vers des domaines malveillants.

Des portes dérobées vers des sites malveillants

La semaine dernière, un rapport de la société de sécurité russe Dr Web a dévoilé l'existence d'un nouveau malware Linux, qui exploite près d'une trentaine de failles présentes dans des plugins et thèmes WordPress. Si ces derniers ne sont pas à jour, du code Javascript est injecté dans le site. Lorsque les visiteurs cliquent sur une page infectée, quelle que soit la zone, ils sont redirigés vers des domaines choisis par les cybercriminels. En tout, plus de 1 300 sites web ont déjà été victimes de ce malware.

Il existerait actuellement deux versions de ce logiciel malveillant, nommées respectivement Linux.BackDoor.WordPressExploit.1 et Linux.BackDoor.WordPressExploit.2. La seconde utilise un domaine et un serveur différents, et vise des extensions additionnelles. Les experts de Dr Web ont également indiqué que les souches incluraient du code destiné à attaquer par force brute les comptes administrateurs. Ce dernier est, pour l'heure, non implémenté, mais la prudence reste de mise.

Les plugins et thèmes à mettre à jour d'urgence

Afin d'éviter d'être infecté par ce nouveau malware, il est impératif de vérifier que vos plugins et thèmes sont bien à jour. Voici les extensions susceptibles d'être attaquées :

  • WooCommerce
  • WP LiveChat et WP Live Chat Support Plugin
  • Page Coming Soon et Mode Maintenance
  • Yuzo Related Posts Plugin
  • Yellow Pencil : Visual CSS Editor
  • Easy SMTP
  • WP GDPR Compliance
  • Thim Core by ThimPress
  • Smart Google Code Inserter
  • Total Donations Plugin for WordPress
  • Post Custom Templates Lite - WordPress Plugin
  • WP Quick Booking Manager by WPProducts
  • Facebook Live Chat by Zotabox
  • Blog Designer : WordPress Blog Plugin
  • Ultimate FAQ (CVE-2019-17232 et CVE-2019-17233)
  • WP-Matomo Integration
  • ND Shortcodes - Extension WordPress
  • Brizy - Page Builder
  • FV Flowplayer Video Player - WordPress Plugin
  • Simple Fields - Custom Fields Plugin
  • Delucks SEO - Extension WordPress
  • Poll, Survey, Form & Quiz Maker by Opinion Stage
  • Social Metrics Tracker
  • WPeMatico
  • Rich Reviews by Starfish plugin for WordPress
  • Thème Newspaper (CVE-2016-10972)
  • Thème WordPress OneTone
  • Hybride

Ce n'est malheureusement pas la première ni la dernière fois que le renommé CMS WordPress essuie les attaques de cybercriminels. Pour éviter les déconvenues, il est important de veiller à ce que votre système soit toujours bien à jour.

Si WordPress est incontestablement un des outils de création de site les plus utilisés du web, c'est pour sa simplicité d'utilisation avant tout, mais aussi ses nombreuses options permettant une personnalisation complète du produit. Il peut s'agir à la fois des thèmes proposés par le fournisseur, ou même des différents plugin offrant diversité et praticité, avec la quasi certitude de trouver cet outil supplémentaire permettant de faire passer son site au niveau supérieur. Le problème, en réalité, réside plutôt dans la difficulté de faire un choix parmi le nombre phénoménal de plugin accessibles pour tous les utilisateurs. Alors ici, nous revenons sur les 20 meilleures plugin WordPress à installer sur votre site web, un contenu actualisé pour le mois de février 2024.
Lire la suite

Source : The Hacker News

Mia Ogouchi

Rédactrice web le jour, prodige d’Hyrule la nuit, j’aime surfer (sur le web), organiser des combats (Mac vs PC) et hurler (de rire devant des memes de chats joufflus). L’actualité du numérique n’a auc...

Lire d'autres articles

Rédactrice web le jour, prodige d’Hyrule la nuit, j’aime surfer (sur le web), organiser des combats (Mac vs PC) et hurler (de rire devant des memes de chats joufflus). L’actualité du numérique n’a aucun secret pour moi. Mon hobby favori ? Comme tous les habitants du village de Cocorico, pardi : briser des pots… pour trouver des rubis !

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (2)

cluclu56
Donc contrairement au titre, ce n’est pas Wordpress mais les plugins et les thèmes utilisés sur Wordpress qui sont concernés par une faille de sécurité… Encore un article bâclé par la rédaction.
balou06
Effet d’annonce sans doute, rien de grave ,il suffit de lire l’article. Et n’importe quel admin responsable fera des mises à jour régulières et évitera de multiplier les extensions et thèmes.
Voir tous les messages sur le forum