Un nouveau plugin buggué permet à des cybercriminels de prendre le contrôle et de supprimer toutes les données d’un site internet hébergé sur Wordpress.

Pas une, mais deux failles de sécurité critiques ont été découvertes sur le plugin Wordpress PageLayer. Combinées, elles permettent à des hackers de prendre le contrôle du site et d’en supprimer le contenu, rappelle le Bleeping Computer.

C’est un vrai problème, car le plugin équipe plus de 200 000 sites qui ont besoin de cet outil clé en main pour gérer certaines interactions sur leur site, comme la capacité à déplacer un fichier d’un dossier à un autre à la souris.

Image d'erreur

Wordpress est un outil d’édition de site très répandu, et ses plugins sont régulièrement sujets à des failles. // Source : Pixabay

Les vulnérabilités ont été repérées le 30 avril par la Wordfence Threat Intelligence team, et le patch de sécurité a été publié une semaine plus tard, le 6 mai. Les sites qui ne font pas régulièrement leurs mises à jour sont encore exposés à l’attaque.

110 000 sites concernés n’ont toujours pas patché les failles

La première faille permettait à tout utilisateur avec des permissions de bas niveau (comme un abonné du site) de modifier les pages du sites, par exemple en ajoutant des liens malveillants.

La seconde faille permettait à des attaquants de créer se faire passer pour l’administrateur du site auprès du système. Les hackers pouvaient déposer une fausse requête afin de modifier les réglages de PageLayer. Cette manipulation les autorisait à ensuite injecter du code Javascript malveillant pour transformer les pages du site. Ils pouvaient également créer des comptes d’administrateurs ou encore mettre en place des redirections… S’il ne souhaite pas exploiter le site à des fins malveillantes, l’assaillant aura les droits suffisants pour simplement le supprimer.

Puisque le problème est résolu, il suffit de s’assurer que PageLayer soit mis à jour avec la version 1.1.2. Mais plus de 110 000 sites concernés ne l’ont pas encore fait, d’après le nombre de téléchargements de la mise à jour.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.