Accueil » Actualité » WordPress : un bug permet à n’importe qui de se connecter comme admin

WordPress : un bug permet à n’importe qui de se connecter comme admin

Des bugs de contournement dans la fonctionnalité d’identification ont laissé des centaines de milliers de sites vulnérables aux cyber-attaques. Heureusement, cette faille de sécurité a été corrigée rapidement.

Image 1 : WordPress : un bug permet à n’importe qui de se connecter comme admin

Plus de peur que de mal. Un bug de courte durée a affecté WordPress, qui permettait à n’importe qui de se connecter comme administrateur, même sans mot de passe. En cause ? un plug-in particulièrement populaire, l’InfiniteWP Client. Pour l’instant, on ne sait pas s’il y a eu des sites web qui ont pu être affectés ou exploités à cause de cette faille. En tout cas, il semble qu’elle ait été corrigée à temps, ce qui n’est pas toujours le cas. En 2016, c’est une faille WordPress qui a donné lieu à la fuite des documents des Panama Papers

HBO négocie avec des hackers

Ce bug aurait pu faire des dégâts. En effet, WordPress est une des principales plateformes qui alimentent de nombreux sites Web et blogs que vous lisez aujourd’hui. C’est une plateforme extrêmement populaire auprès des créateurs de contenus, multiplié par le fait que beaucoup de développeurs proposent des plug-ins pour améliorer les sites. 

Par ailleurs, une autre faille mineure a aussi été détectée, à cause du plug-in WP Time Capsule. Ce dernier est présent sur 20,000 sites, selon les comptes de la bibliothèque WordPress. Il a aussi été corrigé rapidement. 

Une erreur difficile à trouver

Un plug-in sert à ajouter de nouvelles fonctionnalités sur un site, comme une boutique en ligne par exemple. Le plug-in en question, InfiniteWP Client est actuellement installé sur plus de 300,000 sites WordPress. La bonne nouvelle est que le créateur du plugin, Revmakx, a depuis corrigé la faille après que la vulnérabilité ait été révélée. 

Quora : des millions de données privées piratées

Revmakx a ensuite rendu les bugs publics et a expliqué les raisons de cette erreur de programmation : « Du fait de la nature de la vulnérabilité, le contournement de l’authentification est rendue possible grâce à une erreur logique dans le code, et ne produit pas de réaction suspecte des pare-feux. Il peut donc être difficile de trouver et de déterminer d’où viennent ces problèmes ».

Source : ThreatPost