6 WordPress Plugin Vulnerabilities Breached by Hackers
Aucun système de gestion de contenu (CMS) ne se mesure à WordPress en termes de popularité. C’est un champion incontestable dans son créneau, se targuant d’une impressionnante part de marché de 63,5 % des CMS. En outre, 37 % de tous les sites Web sur Internet utilisent WordPress.
Avec son cadre flexible qui s’adapte à pratiquement tous les contextes en ligne – des petits blogs personnels et des organes de presse aux sites exploités par de grandes marques – il n’est pas surprenant que ce CMS crée des ondulations dans la zone de l’écosystème Web depuis des années.
Que pensent les cybercriminels de ce train de la hype ? Vous l’avez deviné : ils n’hésitent pas à sauter dessus. Contrairement aux webmasters, cependant, leur motivation est beaucoup moins bénigne.
Le bon côté des choses est que le noyau de WordPress est correctement sécurisé sous différents angles grâce à des correctifs de vulnérabilité réguliers. L’équipe de sécurité de WordPress collabore avec des chercheurs et des hébergeurs de confiance pour assurer une réponse immédiate aux menaces émergentes. Pour renforcer les défenses sans compter sur l’hygiène de mise à jour des propriétaires de sites, WordPress pousse des mises à jour automatisées en arrière-plan depuis la version 3.7 sortie en 2013.
La mauvaise nouvelle est que les plugins tiers peuvent être des proies faciles pour les acteurs malveillants. Sans surprise, les plugins avec de nombreuses installations actives sont un plus grand appât. En les exploitant, ces acteurs peuvent prendre un raccourci et augmenter de manière significative la surface d’attaque potentielle.
Les failles récemment découvertes dans les plugins WordPress populaires vont de l’exécution à distance et des bugs d’escalade de privilèges aux failles de cross-site request forgery et cross-site scripting.
Plus de nos contributeurs expertsIl existe 5 types fondamentaux d’entrepreneurs. Lequel êtes-vous ?
File Manager
Début septembre, des chercheurs de l’hébergeur finlandais Seravo ont découvert une faille de sécurité dans File Manager, un plugin WordPress installé sur au moins 600 000 sites. Catégorisé comme une vulnérabilité zero-day d’exécution de code à distance, ce bug critique permettait à un adversaire non authentifié d’accéder à la zone d’administration, d’exécuter du code malveillant et de télécharger des scripts douteux sur tout site WordPress utilisant des versions de File Manager comprises entre 6.0 et 6.8.
Au crédit du fabricant du plugin, une version corrigée (File Manager 6.9) a été publiée quelques heures seulement après que les analystes de sécurité aient signalé cette vulnérabilité. Cependant, selon les statistiques des versions actives de File Manager, cette version n’est actuellement utilisée que sur 52,3 % des sites WordPress qui utilisent le plugin. Cela signifie que plus de 300 000 sites continuent d’être susceptibles d’être compromis parce que leurs propriétaires tardent à mettre à jour le plugin vers la dernière version corrigée.
Lorsque les chapeaux blancs ont découvert cette faille, elle était déjà exploitée dans des assauts du monde réel tentant de télécharger des fichiers PHP nuisibles dans le répertoire « wp-content/plugins/wp-file-manager/lib/files/ » sur des sites web non sécurisés. Au moment de la rédaction de cet article, plus de 2,6 millions d’instances WordPress ont été sondées pour détecter des versions obsolètes du gestionnaire de fichiers.
De plus, différents gangs de cybercriminels semblent se faire la guerre pour les sites Web qui continuent d’être des fruits mûrs. L’un des éléments de cette rivalité se résume à la spécification d’un mot de passe pour l’accès au fichier du plugin nommé » connector.minimal.php « , qui est une principale rampe de lancement pour l’exécution de code à distance dans les itérations non patchées de File Manager.
En d’autres termes, une fois que les acteurs de la menace ont pris pied dans une installation WordPress vulnérable, ils bloquent le composant exploitable pour qu’il ne soit pas utilisé par d’autres criminels qui peuvent également avoir un accès backdoor au même site. En parlant de cela, les analystes ont observé des tentatives de piratage de sites Web via le bug du plugin File Manager provenant d’un nombre impressionnant de 370 000 adresses IP différentes.
Page Builder
Le plugin WordPress Page Builder de SiteOrigin compte plus d’un million d’installations. Début mai, le fournisseur de services de sécurité Wordfence a fait une découverte déconcertante : Ce composant WordPress extrêmement populaire est sensible à une série de vulnérabilités CSRF (cross-site request forgery) qui peuvent être exploitées pour obtenir des privilèges élevés sur un site.
Les fonctionnalités boguées du plugin, « Live Editor » et « builder_content », permettent à un malfaiteur d’enregistrer un nouveau compte administrateur ou d’ouvrir une porte dérobée pour accéder à volonté à un site vulnérable. Si un pirate est suffisamment compétent, il peut profiter de cette vulnérabilité pour exécuter une prise de contrôle du site.
SiteOrigin a déployé un correctif dans la journée après avoir été alerté de ces failles. Cependant, le problème continuera à se faire sentir sur l’ensemble des sites jusqu’à ce que les webmasters appliquent le correctif – malheureusement, cela prend généralement pas mal de temps.
GDPR Cookie Consent
Ce plugin est l’un des poids lourds de l’écosystème WordPress, étant installé et activement utilisé sur plus de 800 000 sites. Il permet aux webmasters de se conformer au Règlement général sur la protection des données (RGPD) de l’Union européenne par le biais de notifications personnalisables de la politique en matière de cookies.
En janvier dernier, les experts en sécurité ont constaté que la version 1.8 de GDPR Cookie Consent.2 et antérieures étaient exposées à une vulnérabilité sévère qui permettait aux mauvais acteurs de réaliser des attaques de type cross-site scripting (XSS) et d’élévation de privilèges.
Le bug ouvre la voie à un pirate pour modifier, publier ou supprimer tout contenu sur un site WordPress exploitable, même avec des autorisations d’abonné. Un autre scénario défavorable se résume à l’injection d’un code JavaScript nuisible qui peut provoquer des redirections ou afficher des publicités indésirables aux visiteurs. La bonne nouvelle est que le développeur, WebToffee, a publié une version corrigée le 10 février.
Duplicator
Avec plus d’un million d’installations actives et un total de 20 millions de téléchargements, Duplicator figure sur la liste des 100 meilleurs plugins WordPress. Sa principale fonctionnalité concerne la migration ou le clonage d’un site WordPress d’un emplacement à un autre. De plus, il permet aux propriétaires de sites de sauvegarder leur contenu facilement et en toute sécurité.
En février, les analystes de sécurité de Wordfence ont mis le doigt sur une faille qui permettait à un auteur de télécharger des fichiers arbitraires à partir de sites exécutant Duplicator version 1.3.26 et antérieure. Par exemple, un attaquant pouvait profiter de ce bogue pour télécharger le contenu du fichier « wp-config.php » qui contient, entre autres, les informations d’identification de l’administrateur du site. Heureusement, la faille a été corrigée deux jours après que la vulnérabilité ait été signalée au fournisseur.
Site Kit by Google
Une faille grave dans Site Kit by Google, un plugin activement utilisé sur plus de 700 000 sites, permet à un attaquant de prendre le contrôle de la Google Search Console associée et de perturber la présence en ligne du site. En obtenant un accès propriétaire non autorisé grâce à cette faiblesse, un acteur malveillant peut modifier les sitemaps, déréférencer les pages des résultats de recherche de Google, injecter du code nuisible et orchestrer des fraudes de black hat SEO.
L’une des facettes de cette faille est que le plugin a une implantation grossière des contrôles de rôle utilisateur. Pour couronner le tout, il expose l’URL exploitée par Site Kit pour communiquer avec Google Search Console. Combinées, ces imperfections peuvent alimenter des attaques conduisant à une élévation de privilèges et aux scénarios de post-exploitation mentionnés ci-dessus.
La vulnérabilité a été repérée par Wordfence le 21 avril. Bien que l’auteur du plugin ait publié une version mise à jour (Site Kit 1.8.0) le 7 mai, celle-ci n’est actuellement installée que sur 12,9 % (environ 90 000) des sites WordPress utilisant Site Kit. Par conséquent, des centaines de milliers de propriétaires de sites doivent encore l’appliquer pour rester en sécurité.
InfiniteWP Client
Ce plugin compte plus de 300 000 installations actives pour une raison : il permet aux propriétaires de sites de gérer plusieurs sites depuis leur propre serveur. Le revers de la médaille de ces avantages est qu’un adversaire peut être en mesure de contourner l’authentification via une faille critique découverte par WebARX en janvier.
Pour mettre en place une telle attaque, un pirate pourrait exploiter les fonctions boguées du client InfiniteWP appelées « add_site » et « readd_site ». Comme ces entités n’avaient pas de contrôles d’authentification appropriés en place, un attaquant pouvait tirer parti d’une charge utile encodée Base64 spécialement conçue pour se connecter à un tableau de bord d’administration WordPress sans avoir à saisir un mot de passe valide. Le nom d’utilisateur de l’administrateur suffisait pour obtenir l’accès. Une mise à jour prenant soin de cette vulnérabilité est arrivée le lendemain même de la découverte.
Que faire à ce sujet
Les plugins étendent les fonctionnalités d’un site WordPress, mais ils peuvent être une bénédiction mitigée. Même les plugins WordPress les plus populaires peuvent présenter des imperfections qui permettent divers types de jeux déloyaux menant à la prise de contrôle du site et au vol de données.
La bonne nouvelle est que les auteurs de plugins réagissent rapidement à ces faiblesses et déploient des correctifs. Cependant, ces mises à jour sont futiles si les propriétaires de sites ne font pas leurs devoirs et ne suivent pas des pratiques sûres.
Les conseils suivants vous aideront à empêcher votre site WordPress de devenir un fruit mûr :
- Appliquer les mises à jour. Il s’agit de la contre-mesure fondamentale pour les piratages de WordPress. Assurez-vous que votre site exécute la dernière version du noyau de WordPress. Tout aussi important, installez les mises à jour de vos plugins et thèmes dès qu’elles sont déployées.
- Utilisez des mots de passe forts. Spécifiez un mot de passe qui semble aussi aléatoire que possible et qui se compose d’au moins 10 caractères. Incluez des caractères spéciaux pour relever la barre pour les attaquants qui pourraient essayer de forcer brutalement vos détails d’authentification.
- Suivez le principe du moindre privilège. Ne donnez pas aux utilisateurs autorisés plus de permissions qu’ils n’en ont besoin. Les rôles d’administrateur ou d’éditeur pourraient être redondants pour certains utilisateurs. Si les privilèges d’abonné ou de contributeur suffisent, tenez-vous en à ces derniers à la place.
- Limitez l’accès direct aux fichiers PHP. Les pirates peuvent envoyer des requêtes HTTP ou GET/POST spécialement conçues aux composants PHP de vos plugins et thèmes pour contourner les mécanismes d’authentification et de validation des entrées. Pour éviter ces attaques, spécifiez des règles qui déclenchent une page d’erreur lorsque de telles tentatives sont effectuées.
- Supprimez les utilisateurs inactifs. Passez en revue la liste des utilisateurs inscrits sur votre site et supprimez les comptes dormants.
- Désactiver l’énumération des utilisateurs. Pour empêcher les attaquants de voir la liste des utilisateurs de votre site et d’essayer d’exploiter leurs dérapages de configuration, dirigez-vous vers le fichier .htaccess et désactivez-y la fonction d’énumération des utilisateurs.
- Ajoutez un plugin de sécurité. Assurez-vous que le plugin est livré avec un pare-feu d’application web (WAF) qui surveille le trafic suspect et bloque les attaques ciblées se pigant sur les vulnérabilités connues et de type zero-day.