Les sites utilisant WordPress sont menacés. Des chercheurs en sécurité internet de chez « Web Sucuri » ont découvert des sérieuses vulnérabilités dans un plug-in appelé « All in One SEO Pack » et dans , qui serait en train de mettre en danger des millions de sites WordPress.
D’après cette entreprise de surveillance du web, les vulnérabilités « d’ajout de privilèges » détectées permettent à toute personne malveillante d’ajouter et de modifier les informations des balises Meta d’un site WordPress afin de nuire à celui-ci sur les moteurs de recherches.
Cette faille XSS (Cross-Site Scripting) peut-être exploitée en injectant un code malveillant en langage de script dans un site web vulnérable. Toute personne (avec un minimum de connaissance) pourrait injecter un code qui lui permet de changer le mot de passe du compte Admin du site WordPress, afin de laisser la porte ouverte afin de revenir plus tard commettre ses méfaits.
L’équipe d’All in One SEO a mis à disposition une mise à jour de sécurité d’urgence, sensée corriger ces vulnérabilités critiques.
Ceux qui utilisent l’extension « All in One SEO Pack » sont conseillés de mettre à jour très rapidement le plug-in avec la version 2.1.6. Celle-ci a été publiée dimanche dans la bibliothèque d’add-ons de WordPress.
Une mise à jour peut également être lancée à partir du panneau d’administration du plug-in. Surtout, assurez-vous auparavant que vous avez la version WordPress 3.9 installée pour éviter les problèmes de compatibilité.
Merci pour l’information. Je viens de mettre immédiatement le plugin à jour. Vu le nombre de sites qui utilisent ce plugin, je pense en effet que cela auraient pu faire des millions de victimes. Mais heureusement que le danger a été écarté. Plus généralement, il faut faire attention car on n’est jamais à l’abri du danger, il est omniprésent. Il suffit que quelqu’un détecte une autre faille et tout recommence. Attention, plusieurs plugins WordPress peuvent comporter de nombreuses failles. On le sait.