MailPoet, un plugin Wordpress responsable de la vulnérabilité de milliers de sites

24 juillet 2014 à 18h14
0
L'éditeur en sécurité Sucuri alerte la communauté des utilisateurs de Wordpress suite à la découvert d'une sérieuse vulnérabilité dans un plugin à l'usage répandu. 50 000 sites l'utilisant auraient déjà été piratés.

00FA000007309938-photo-wordpress-official-logo.jpg
L'extension Mailpoet, destinée à mettre en place une newsletter sur un blog Wordpress, est à l'origine d'un gros problème de sécurité sur la célèbre plateforme. Le site de Sucuri, qui relevait début juillet le problème, constate que le piratage des sites utilisant le plugin a connu un pic conséquent ces dernières semaines, avec environ 50 000 domaines touchés. « Notre service de contrôle des sites nous en signale quelques milliers supplémentaires chaque jour » explique l'éditeur en sécurité.

Si Mailpoet est à l'origine du problème, il faut néanmoins préciser que les développeurs de l'extension ont comblé la faille dès qu'elle a été signalée. Le problème réside désormais dans les sites qui utilisent une version périmée du plugin, dans laquelle perdure la faille de sécurité. Cette dernière permet, comme souvent avec les failles Wordpress, à des pirates d'introduire une porte dérobée (backdoor) dans les dossiers du blog. Caché dans un faux thème, l'accès peut passer longtemps inaperçu, et peut permettre aux pirates de diffuser des logiciels malveillants par le biais du site. « Le plus gros problème de cette injection, c'est qu'elle remplace souvent de bons fichiers par de mauvais, rendant très difficile la reprise du contrôle du site, à moins de disposer d'une sauvegarde complète » explique Sucuri.

Précisons enfin que Mailpoet n'a pas besoin d'être activé sur Wordpress pour être vulnérable : à partir du moment où le plugin est installé, il y a un risque. Par ailleurs, même si l'extension a été mise à jour, il apparaît utile de vérifier si le site n'a pas été infecté avant que la mise à niveau ne soit réalisée.
Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Les actualités récentes les plus commentées

Vignette Crit'air : vers un durcissement des conditions d'obtention
Barbara Pompili, ministre de la transition écologique, qualifie le réacteur EPR de
Face à de très mauvais résultats financiers, EDF s'apprête à se serrer la ceinture
Pollution : un think tank britannique demande à interdire les publicités pour les SUV
Plus de 700 km d'autonomie annoncés pour la Mercedes EQS
Quand Elon Musk affirme que les pyramides ont été érigées par des aliens, l'Égypte l'invite sur place
Depuis 2011, Hadopi c'est 87 000 euros d'amende pour... des dizaines de millions d'euros de subventions !
L'électricité produite en Europe au premier semestre provenait majoritairement d'énergies renouvelables
La première station de recharge à hydrogène ferroviaire annoncée en Allemagne
Les employés de Blizzard font la lumière sur d'inquiétantes disparités salariales

Notre charte communautaire

  • 1. Participez aux discussions
  • 2. Partagez vos connaissances
  • 3. Échangez vos idées
  • 4. Faites preuve de tolérance
  • 5. Restez courtois
  • 6. Publiez des messages utiles
  • 7. Soignez votre écriture
  • 8. Respectez le cadre légal
  • 9. Ne faites pas de promotion
  • 10. Ne plagiez pas
  • Consultez la charte
scroll top