Failles Plugins Wordpress

Menace invisible : les plugins WordPress populaires laissent des millions de sites vulnérables aux attaques de type backdoor

par Temps de lecture : 4 minutes

Les experts en sécurité de Fastly ont récemment découvert des attaques XSS stockées non authentifiées ciblant des plugins WordPress populaires tels que WP Meta SEO, WP Statistics et LiteSpeed Cache. Ces vulnérabilités mettent en péril des millions de sites web en permettant l’injection de scripts malveillants et de portes dérobées.

Une faille de sécurité inquiétante

WordPress, le CMS mondialement utilisé pour la gestion de contenu de millions de sites web, est actuellement exploité dans des attaques utilisant des vulnérabilités XSS stockées non authentifiées. Selon l’entreprise de sécurité cloud Fastly, des tentatives d’exploitation active ciblent trois vulnérabilités critiques dans des plugins WordPress populaires.

Site frauduleux ? Arnaque ? Piratage ? On vous protège !

Vous avez 35 fois plus de risque de vous faire pirater vos comptes bancaires que de vous faire cambrioler.
France Vérif Infos
Me tester gratuitement

Les détails des vulnérabilités

Fastly a révélé que les attaquants injectaient des scripts malveillants et des backdoors dans les sites web pour créer de nouveaux comptes administrateurs, injecter des backdoors PHP dans les fichiers de plugins et de thèmes, et installer des scripts de suivi pour surveiller les cibles infectées. Les charges malveillantes étaient référencées dans cinq domaines et deux domaines supplémentaires basés sur le suivi, associés auparavant à l’exploitation des plugins WordPress.

Une faille de sécurité inquiétante

Les plugins vulnérables incluent WP Meta SEO, WP Statistics et LiteSpeed Cache, qui comptent respectivement plus de 600 000 et 5 millions d’installations actives. Les charges malveillantes sont injectées via des paramètres de recherche d’URL et des scripts déguisés en notifications administratives, pouvant entraîner une compromission généralisée.

Impact et prévention des attaques XSS

Les attaques XSS stockées non authentifiées permettent aux attaquants d’accéder à des informations sensibles comme les cookies et les jetons de session. Voici les détails spécifiques des vulnérabilités :

  • CVE-2023-6961 : Découverte par le chercheur CERT PL, Krzysztof Zając, en avril 2024, cette vulnérabilité dans le plugin WP Meta SEO peut être exploitée en envoyant une charge utile à un site cible, générant une réponse 404 et insérant un en-tête non assaini dans la base de données.
  • CVE-2024-2194 : Découverte par Tim Coen en mars 2024, cette vulnérabilité permet aux attaquants non authentifiés d’injecter des scripts web dans les versions 14.5 et antérieures du plugin WP Statistics lorsqu’un utilisateur accède à la page injectée.
  • CVE-2023-40000 : Découverte par Patchstack en février 2024, cette vulnérabilité XSS stockée dans le plugin LiteSpeed Cache est déclenchée lorsqu’un administrateur accède à une page backend déguisée en notification administrative.
Lire  Maintenir Votre Navigateur à Jour : Une Nécessité pour la Sécurité de Vos Cryptos
Faille critique dans un plugin WordPress populaire : des millions de sites en danger

Les plugins WordPress reposent souvent sur du contenu généré par les utilisateurs, qui peut être vulnérable aux scripts malveillants s’il n’est pas correctement validé et assaini. Toute exploitation peut entraîner des conséquences graves, telles que le détournement de session, le vol de données, la distribution de logiciels malveillants et le défigurement de sites web.

Mesures de protection recommandées

Pour protéger votre site WordPress contre les attaques XSS stockées non authentifiées, suivez ces recommandations :

  1. Mise à jour régulière : Mettez à jour régulièrement le noyau, les plugins et les thèmes de WordPress.
  2. Validation et assainissement des entrées : Priorisez la validation et l’assainissement des entrées.
  3. Scan de vulnérabilités : Scannez régulièrement votre site à la recherche de vulnérabilités.
  4. Pare-feu d’application web (WAF) : Implémentez un WAF pour protéger votre site.
  5. Mots de passe forts et MFA : Utilisez des mots de passe forts et l’authentification multifactorielle.

Adam Neel, ingénieur en détection des menaces chez Critical Start, a commenté : « Ces vulnérabilités WordPress permettent aux attaquants de voler les identifiants administratifs via des attaques XSS. Les administrateurs WordPress doivent mettre à jour les plugins vulnérables pour éviter que des attaquants puissent accéder à des informations sensibles et compromettre la sécurité de leurs sites. »

Tableau comparatif des plugins vulnérables

PluginNombre d’installations activesVersion vulnérableCVEDate de découverte
WP Meta SEO600 000+Version non spécifiéeCVE-2023-6961Avril 2024
WP Statistics5 millions+Versions ≤ 14.5CVE-2024-2194Mars 2024
LiteSpeed Cache5 millions+Version non spécifiéeCVE-2023-40000Février 2024

Vigilance et sécurité : les maîtres mots

Pour conclure, la sécurité de votre site WordPress repose sur une vigilance constante et la mise en place de mesures de protection robustes. Assurez-vous de toujours utiliser des versions à jour des plugins, de valider et assainir les entrées, et de surveiller régulièrement les vulnérabilités potentielles. En suivant ces pratiques, vous minimiserez les risques d’attaques et protégerez efficacement votre présence en ligne.

Share on LinkedIn
Mehdi Bellatig

Master en Sciences Sociales
Expert en cybersécurité et lutte contre les fraudes et arnaques en ligne.
Co-créateur de la 1ère Intelligence Artificielle analysant la fiabilité des sites internet.
Co-fondateur technique de France Verif, le premier outil pour la sécurité numérique globale des particuliers.

Voir tous ses articles LinkedIn Site web

Contact support utilisateurs [email protected]

Contact support marchand [email protected]