Vulnérabilité Critique du Plugin de Traduction WordPress: 1 Million de Sites Affectés
Une vulnérabilité critique a été découverte dans le plugin WordPress WPML, affectant plus d’un million d’installations. Cette vulnérabilité permet à un attaquant authentifié d’exécuter du code à distance, ce qui pourrait potentiellement entraîner une prise de contrôle totale du site. Elle a été évaluée à 9,9 sur 10 par l’organisation Common Vulnerabilities and Exposures (CVE).
WPML: Un Plugin Populaire en Péril
Le plugin WPML est très prisé des utilisateurs de WordPress pour ses fonctionnalités de traduction. Cependant, cette popularité a fait de lui une cible de choix pour les cybercriminels. La vulnérabilité découverte est due à un manque de vérification de sécurité appelé « sanitization », un processus de filtrage des données d’entrée des utilisateurs pour éviter le téléchargement de fichiers malveillants. L’absence de cette vérification rend le plugin vulnérable à l’exécution de code à distance.
Origine de la Vulnérabilité
La faille se trouve dans une fonction d’un shortcode permettant de créer un sélecteur de langue personnalisé. Cette fonction rend le contenu du shortcode dans un modèle de plugin sans assainir les données, ce qui la rend vulnérable à l’injection de code. Toutes les versions du plugin WPML jusqu’à la version 4.6.12 inclusivement sont affectées.
Chronologie de la Découverte
La société Wordfence a découvert la vulnérabilité fin juin et a rapidement informé les éditeurs de WPML, qui sont restés sans réponse pendant environ un mois et demi. C’est seulement le 1er août 2024 que les éditeurs ont confirmé la réception de la notification.
Les utilisateurs de la version payante de Wordfence ont reçu une protection huit jours après la découverte de la vulnérabilité, tandis que les utilisateurs de la version gratuite ont été protégés à partir du 27 juillet. Les utilisateurs du plugin WPML qui n’ont pas utilisé l’une ou l’autre version de Wordfence n’ont reçu aucune protection jusqu’au 20 août, date à laquelle les éditeurs ont finalement publié un correctif dans la version 4.6.13.
Conséquences et Recommandations
Wordfence recommande vivement à tous les utilisateurs du plugin WPML de s’assurer qu’ils utilisent la dernière version du plugin, WPML 4.6.13. Ils déclarent :
« Nous exhortons les utilisateurs à mettre à jour leurs sites avec la dernière version corrigée de WPML, la version 4.6.13 au moment de la rédaction de ce message, dès que possible. »
Impact sur la Communauté WordPress
Cette découverte soulève des questions importantes sur la sécurité des plugins WordPress, particulièrement ceux qui sont largement adoptés. La lenteur de la réaction des éditeurs de WPML a exposé de nombreux sites à des risques inutiles. Cela met en évidence la nécessité d’une surveillance constante et de mises à jour régulières pour assurer la sécurité des sites web.
Le cas de WPML illustre également l’importance d’utiliser des solutions de sécurité robustes comme Wordfence pour protéger les sites WordPress. La protection rapide offerte par Wordfence a permis de minimiser les risques pour de nombreux utilisateurs, soulignant l’efficacité des solutions de sécurité tierces.
Prochaine Étape pour les Utilisateurs
Pour les utilisateurs de WPML, la mise à jour vers la version 4.6.13 est impérative. Cependant, cette incident montre également qu’il est crucial de rester vigilant et de prendre des mesures proactives pour sécuriser leurs sites. Voici quelques recommandations :
- Surveiller régulièrement les mises à jour de sécurité et les appliquer immédiatement.
- Utiliser des plugins de sécurité reconnus pour protéger les sites WordPress.
- Effectuer des audits de sécurité périodiques pour identifier et corriger les vulnérabilités potentielles.
- Se tenir informé des dernières actualités et bonnes pratiques en matière de sécurité web.
En suivant ces recommandations, les utilisateurs peuvent mieux protéger leurs sites contre les menaces futures et maintenir leur sécurité en ligne.