L'extension Theme Grill de WordPress insérait une faille de sécurité critique sur les sites qui l'utilisaient. Des hackers malveillants pouvaient, à l'aide d'un code d'exploitation relativement simple, supprimer tout le contenu d'un site et en prendre le contrôle dans certains cas. La faille a fait l'objet de deux patchs de sécurité déployés courant février.

Plusieurs propriétaires de sites se sont retrouvés, ce 18 février, confrontés à une page blanche. Tout leur contenu avait disparu.

Les hackers exploitent actuellement une vulnérabilité présente sur une extension du CMS WordPress, utilisé pour administrer des sites web très divers. Découverte par Web ARX, cette faille permet à des hackers de nettoyer l’ensemble des bases de données du site, et même d’en prendre le contrôle dans certains cas.

L’extension en cause, Theme Grill, permet aux propriétaires de sites de tester différents thèmes, des sortes de chartes graphiques prédéveloppées qu’ils peuvent ensuite adapter à leurs besoins. Theme Grill propose des versions gratuites de ces thèmes, ainsi que des versions payantes pour quelques dizaines d’euros.

WordPress est un outil d’édition de site très répandu. // Source : Pixabay

Problème : des hackers peuvent, à distance, envoyer des commandes spécifiques pour déclencher une fonction buguée de l’extension. L’attaque passera sous les radars, car elle ne contient pas de code malveillant. Pourtant, l’exploitation leur permet de tout effacer pour remettre à zéro le site, qui n’affichera plus qu’un message « Hello World ». Ironique.

Les hackers suppriment tout le contenu d’un site juste pour tenter une manœuvre

Mais ce n’est pas tout : si les propriétaires du site sont peu précautionneux et utilisent « admin » en nom d’utilisateur, les assaillants pourront ensuite en prendre le contrôle. Résultat : ils auront les droits d’administrateur du site, et pourront y publier ce qu’ils souhaitent. Dans la majorité des cas, les assaillants n’auront pas d’intérêt à simplement nettoyer les sites, mais ils tenteront tout de même la manœuvre afin de pouvoir en prendre le contrôle. WebARX affirme avoir bloqué plus de 17 000 attaques, mais certaines aboutissent.

Dans un premier temps, WordPress a déclaré que 200 000 sites utilisent l’extension en cause, avant de diviser par deux ce nombre. De son côté, Theme Grill revendique sur son site plus de 300 000 utilisateurs. Pour se protéger du hack, les utilisateurs peuvent mettre à jour l’extension avec les deux patchs de sécurités depuis déployés, car seules les versions entre 1.3.4 et 1.6.1 présentent la faille. Mais le groupe à l’origine de la découverte, WebARX, conseille de tout simplement désinstaller l’extension.

Crédit photo de la une : Pixabay

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux