Une faille décelée sur un plugin menace des milliers de sites WordPress. La nouvelle a été relatée dans un billet de blog de la firme de sécurité Sucuri. Elle prévient que le plugin WP Mobile Detector, qui permet de détecter l’appareil mobile du visiteur pour charger la version adaptée du site, inclut une brèche facilement exploitable par des personnes malintentionnées.Les chercheurs de sécurité ont constaté qu’un nombre grandissant de sites ont été attaqués depuis le vendredi dernier. La faille a permis aux hackers d'infecter des sites vulnérables en installant des scripts relatifs à du contenu à caractère pornographique. Cette vulnérabilité a été rendue publique ce mardi et le plugin en question a été retiré de l’annuaire des plugins WordPress. Le plugin avait jusque-là plus de 10 000 installations et beaucoup d’entre elles restent actives.
Sucuri explique sur son blog que l'exploitation de cette faille est très facile dans la mesure où le plugin n'effectue pas de contrôle de sécurité. Cela permet donc au hacker d'injecter du code malicieux dans les requêtes reçues par les sites qui utilisent le plugin.
Depuis hier, le plugin a été mis à jour et la nouvelle version a corrigé la faille. Ce cas nous rappelle une fois encore à quel point la sécurité sur WordPress tient à un bout de fil, à la version du CMS et des plugins aussi, les deux pouvant contenir des failles permettant aux hackers de les exploiter.
Sources : Blog Sucuri, Threat Post
Et vous ?
Qu'en pensez-vous ?Voir aussi :
Des pirates se servent d'attaques par injection de SQL pour attaquer des sites conçus avec le CMS Drupal et y installer de faux ransomware 
