Des millions de sites WordPress ont reçu un correctif forcé au cours des derniers jours, Ars Technica a signalé. La raison en est une vulnérabilité dans UpdraftPlus, un plugin populaire qui permet aux utilisateurs de créer et de restaurer des sauvegardes de sites Web. Les développeurs d’UpdraftPlus ont demandé le correctif obligatoire, car la vulnérabilité permettrait à toute personne disposant d’un compte de télécharger l’intégralité de la base de données d’un site Web.
Le bogue a été découvert par le chercheur en sécurité de Jetpack, Marc Montpas, lors d’un audit de sécurité du plugin. « Ce bogue est assez facile à exploiter, avec de très mauvais résultats s’il est exploité », a-t-il déclaré. Ars Technica. « Cela a permis aux utilisateurs à faibles privilèges de télécharger les sauvegardes d’un site, qui incluent les sauvegardes brutes de la base de données. »
Il a informé les développeurs d’UpdraftPlus du bogue mardi la semaine dernière, ils l’ont corrigé un jour plus tard et ont commencé à forcer l’installation du correctif peu de temps après. 1,7 million de sites l’avaient reçu jeudi, sur plus de 3 millions d’utilisateurs.
Le principal défaut était qu’UpdraftPlus n’implémentait pas correctement la fonction « Hearbeat » de WordPress en vérifiant correctement si les utilisateurs avaient des privilèges administratifs. Un autre problème était une variable utilisée pour valider les administrateurs qui pouvaient être modifiées par des utilisateurs non fiables. Jetpack a fourni plus de détails sur la façon un hack pourrait fonctionner dans un article de blog.
WordPress a déjà été piraté plus tôt cette année, mais cela a été fait indirectement via un hack GoDaddy qui a exposé 1,2 million de comptes. Si vous utilisez WordPress avec le plug-in UpdraftPlus, vous devez absolument confirmer que le plug-in a été mis à jour automatiquement vers la version 1.22.4 ou ultérieure sur la version gratuite, ou vers la version 2.22.4 et ultérieure sur l’application premium.
Tous les produits recommandés par Engadget sont sélectionnés par notre équipe éditoriale, indépendante de notre maison mère. Certaines de nos histoires incluent des liens d’affiliation. Si vous achetez quelque chose via l’un de ces liens, nous pouvons gagner une commission d’affiliation.