MailPoet, un plugin Wordpress responsable de la vulnérabilité de milliers de sites

01 juin 2018 à 15h36
0
L'éditeur en sécurité Sucuri alerte la communauté des utilisateurs de Wordpress suite à la découvert d'une sérieuse vulnérabilité dans un plugin à l'usage répandu. 50 000 sites l'utilisant auraient déjà été piratés.

00FA000007309938-photo-wordpress-official-logo.jpg
L'extension Mailpoet, destinée à mettre en place une newsletter sur un blog Wordpress, est à l'origine d'un gros problème de sécurité sur la célèbre plateforme. Le site de Sucuri, qui relevait début juillet le problème, constate que le piratage des sites utilisant le plugin a connu un pic conséquent ces dernières semaines, avec environ 50 000 domaines touchés. « Notre service de contrôle des sites nous en signale quelques milliers supplémentaires chaque jour » explique l'éditeur en sécurité.

Si Mailpoet est à l'origine du problème, il faut néanmoins préciser que les développeurs de l'extension ont comblé la faille dès qu'elle a été signalée. Le problème réside désormais dans les sites qui utilisent une version périmée du plugin, dans laquelle perdure la faille de sécurité. Cette dernière permet, comme souvent avec les failles Wordpress, à des pirates d'introduire une porte dérobée (backdoor) dans les dossiers du blog. Caché dans un faux thème, l'accès peut passer longtemps inaperçu, et peut permettre aux pirates de diffuser des logiciels malveillants par le biais du site. « Le plus gros problème de cette injection, c'est qu'elle remplace souvent de bons fichiers par de mauvais, rendant très difficile la reprise du contrôle du site, à moins de disposer d'une sauvegarde complète » explique Sucuri.

Précisons enfin que Mailpoet n'a pas besoin d'être activé sur Wordpress pour être vulnérable : à partir du moment où le plugin est installé, il y a un risque. Par ailleurs, même si l'extension a été mise à jour, il apparaît utile de vérifier si le site n'a pas été infecté avant que la mise à niveau ne soit réalisée.
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Infos US de la nuit : Amazon dans le rouge, Google s’écrase face au ‘droit à l’oubli’ européen
Sécurité : Chrome adoptera BoringSSL, le fork d'OpenSSL crée par Google
Chromecast fête son premier anniversaire et récompense ses utilisateurs
Amazon : les investissements plombent les résultats financiers
La bêta d'OS X Yosemite ouverte au public : comment l'installer
Panne du réseau SFR : l'opérateur annonce la fin de l'incident (màj)
Un nouveau responsable quitte le projet de service musical sur YouTube
Lenovo cherche à séduire de nouveaux partenaires et présente un prototype de lunettes connectées
DRAM : SK Hynix s’attend à un ralentissement de ses activités
Le fisc s’intéresserait aux montages financiers de Meetic
Haut de page