WordPress : une nouvelle alerte de sécurité recensant plus de 20 failles

Mia Ogouchi
Publié le 09 janvier 2023 à 12h30
© WordPress
© WordPress

Un nouveau malware sème la zizanie sur les sites WordPress. Signalée par la société Dr Web, la souche exploite une vingtaine de failles présentes dans les plugins et thèmes installés sur le fameux CMS. Si ce n'est pas déjà fait, une mise à jour des applications obsolètes est plus que recommandée.

Les sites WordPress utilisant des versions obsolètes de plugins ou de thèmes subissent les attaques d'un nouveau malware Linux. Ce dernier injecte du code Javascript au sein des pages web et redirige les visiteurs vers des domaines malveillants.

Des portes dérobées vers des sites malveillants

La semaine dernière, un rapport de la société de sécurité russe Dr Web a dévoilé l'existence d'un nouveau malware Linux, qui exploite près d'une trentaine de failles présentes dans des plugins et thèmes WordPress. Si ces derniers ne sont pas à jour, du code Javascript est injecté dans le site. Lorsque les visiteurs cliquent sur une page infectée, quelle que soit la zone, ils sont redirigés vers des domaines choisis par les cybercriminels. En tout, plus de 1 300 sites web ont déjà été victimes de ce malware.

Il existerait actuellement deux versions de ce logiciel malveillant, nommées respectivement Linux.BackDoor.WordPressExploit.1 et Linux.BackDoor.WordPressExploit.2. La seconde utilise un domaine et un serveur différents, et vise des extensions additionnelles. Les experts de Dr Web ont également indiqué que les souches incluraient du code destiné à attaquer par force brute les comptes administrateurs. Ce dernier est, pour l'heure, non implémenté, mais la prudence reste de mise.

Les plugins et thèmes à mettre à jour d'urgence

Afin d'éviter d'être infecté par ce nouveau malware, il est impératif de vérifier que vos plugins et thèmes sont bien à jour. Voici les extensions susceptibles d'être attaquées :

  • WooCommerce
  • WP LiveChat et WP Live Chat Support Plugin
  • Page Coming Soon et Mode Maintenance
  • Yuzo Related Posts Plugin
  • Yellow Pencil : Visual CSS Editor
  • Easy SMTP
  • WP GDPR Compliance
  • Thim Core by ThimPress
  • Smart Google Code Inserter
  • Total Donations Plugin for WordPress
  • Post Custom Templates Lite - WordPress Plugin
  • WP Quick Booking Manager by WPProducts
  • Facebook Live Chat by Zotabox
  • Blog Designer : WordPress Blog Plugin
  • Ultimate FAQ (CVE-2019-17232 et CVE-2019-17233)
  • WP-Matomo Integration
  • ND Shortcodes - Extension WordPress
  • Brizy - Page Builder
  • FV Flowplayer Video Player - WordPress Plugin
  • Simple Fields - Custom Fields Plugin
  • Delucks SEO - Extension WordPress
  • Poll, Survey, Form & Quiz Maker by Opinion Stage
  • Social Metrics Tracker
  • WPeMatico
  • Rich Reviews by Starfish plugin for WordPress
  • Thème Newspaper (CVE-2016-10972)
  • Thème WordPress OneTone
  • Hybride

Ce n'est malheureusement pas la première ni la dernière fois que le renommé CMS WordPress essuie les attaques de cybercriminels. Pour éviter les déconvenues, il est important de veiller à ce que votre système soit toujours bien à jour.

WordPress : le top 20 des meilleurs plugins en 2024
WordPress : le top 20 des meilleurs plugins en 2024
Si WordPress est incontestablement un des website builders les plus utilisés du web, c'est pour sa simplicité d'utilisation avant tout, mais aussi ses nombreuses options permettant une personnalisation complète du produit. Il peut s'agir à la fois des thèmes proposés par le fournisseur, ou même des différents plugin offrant diversité et praticité, avec la quasi certitude de trouver cet outil supplémentaire permettant de faire passer son site au niveau supérieur. Le problème, en réalité, réside plutôt dans la difficulté de faire un choix parmi le nombre phénoménal de plugin accessibles pour tous les utilisateurs. Alors ici, nous revenons sur les 20 meilleures plugin WordPress à installer sur votre site web, un contenu actualisé en 2024.

Source : The Hacker News

Par Mia Ogouchi
XLinkedIn

Après avoir endossé les casquettes de content manager, community manager, développeuse, veilleuse stratégique et chargée de projet web au sein d'agences web, de sociétés tech et d'instituts de recherche, je rejoins les rangs de Clubic en 2021 pour parler numérique.

Articles de Mia Ogouchi
Piratage / Cybercriminalité
Malware / Ransomware
Wordpress
Création de site Internet
Actualités High-Tech
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (2)
cluclu56

Donc contrairement au titre, ce n’est pas Wordpress mais les plugins et les thèmes utilisés sur Wordpress qui sont concernés par une faille de sécurité… Encore un article bâclé par la rédaction.

balou06

Effet d’annonce sans doute, rien de grave ,il suffit de lire l’article. Et n’importe quel admin responsable fera des mises à jour régulières et évitera de multiplier les extensions et thèmes.

Sur le même sujet
Comment les hackers choisissent leurs victimes ?
4 commentaires
Quelles sont les cibles du cyberespionnage et pourquoi vous n'êtes pas à l'abri ?
6 commentaires
WordPress a 18 ans ! Retour sur la saga du CMS qui propulse quatre sites web sur dix
14 commentaires
Facebook
X