Faille de sécurité WordPress

Selon Jouk Pynnonen, le cms WordPress a rencontré une faille de sécurité de type XSS (appelé cross-site scripting) qui serait à l’origine d’une menace pour plus de 86% des sites Web  WordPress existants

Selon lui, il s’agit peut-être de la pire faille rencontré depuis 5 ans, elle offre la possibilité à un pirate d’attaquer les visiteurs d’un site sous WordPress (les versions 3.0 à 3.9.2 ; la 4.0  n’est pas concernée).

Faille : Injecter du code dans les zones de texte

Pour que l’attaque se lance, elle a besoin du plugin WP-Statistics. Ensuite cette extension s’injecte en JavaScript dans la partie commentaire, pouvant ainsi conduire à une compromission de la machine des visiteurs et administrateurs du site. Et par défaut, n’importe qui, sans authentification, peut ajouter des commentaires sur un site WordPress.

Le principal risque concerne le compte administrateur, ce qui permettrait alors à l’attaquant de prendre le contrôle du site et d’exécuter des attaques plus complexes, par exemple en exécutant du code PHP côté serveur.

Le chercheur a développé une procédure pour illustrer la possibilité d’injecter un script avant de pouvoir utiliser le plugin d’édition pour écrire un code d’attaque PHP sur le serveur, modifier le mot de passe utilisateur et créer un compte administrateur.

Venez nous rejoindre dans nos formations WordPress pour aborder ce sujet.

SOURCE ZDNET