Un vent de panique souffle sur la communauté WordPress : une vulnérabilité critique affectant le plugin de cache LiteSpeed met en danger plus de cinq millions de sites web. Oui, vous avez bien lu, cinq millions ! Imaginez un instant que votre château fort numérique, jusqu’alors inviolable grâce à vos nombreuses mesures de sécurité, soit soudain en péril à cause d’une simple faille.
La nouvelle est tombée : des hackers peuvent exploiter cette faille pour obtenir des droits d’administrateur et télécharger des fichiers malveillants voire même d’autres plugins dangereux. Cela ressemble à une scène sortie tout droit d’un film de catastrophe pour les administrateurs de sites WordPress, mais c’est pourtant bien réel.
L’origine du désastre
Comment une telle vulnérabilité a-t-elle pu voir le jour ? La réponse est simple mais inquiétante. Le problème provient d’une fonctionnalité du plugin LiteSpeed qui crée un utilisateur temporaire pour crawler le site et ainsi générer un cache des pages web. Pour les non-initiés, un cache est une copie des ressources d’une page web, stockée et livrée aux navigateurs demandant cette page. Cela permet d’accélérer le temps de chargement des pages en réduisant le nombre de requêtes envoyées au serveur.
Le hic ? Ce processus est protégé par un hash de sécurité faible, utilisant des valeurs connues. En d’autres termes, c’est comme si l’on protégeait un coffre-fort avec un code que tout le monde connaît. Les hackers n’ont donc qu’à se pencher pour cueillir ce que contient votre site web.
Les dessous de la découverte
Cette faille a été découverte grâce au programme de chasse aux bugs de Patchstack, une société spécialisée dans la sécurité WordPress. Leur programme offre des récompenses aux chercheurs en cybersécurité qui rapportent des vulnérabilités. Pour le coup, la découverte a valu une prime de 14 400 USD.
Oliver Sild, fondateur de Patchstack, a précisé que la vulnérabilité a été signalée dès le début du mois d’août. Heureusement, à ce jour, aucun signe d’exploitation massive n’a été détecté. Toutefois, il ne faut pas se leurrer : les hackers sont déjà en embuscade.
Un danger imminent
Selon Sild, cette vulnérabilité est d’autant plus dangereuse que le plugin LiteSpeed a une large base d’installation. Les hackers disposent donc d’un vaste terrain de jeu. Sild n’a pas mâché ses mots : « C’est une vulnérabilité critique, rendue particulièrement dangereuse par la grande nombre d’installations. Les hackers s’y intéressent assurément au moment où nous parlons. »
Recommandations urgentes
Que faire pour éviter le pire ? La réponse est claire : mettez à jour ce plugin dès que possible ! La vulnérabilité a été corrigée dans la version 6.4.1 sortie le 19 août. Si vous utilisez ce plugin, actualisez-le immédiatement. Les utilisateurs de Patchstack bénéficient d’une atténuation instantanée des vulnérabilités grâce à leur solution de sécurité WordPress, disponible en version gratuite et payante à partir de 5$ par mois.
En cela, nous voyons l’importance cruciale de maintenir nos systèmes à jour et d’être vigilants face aux annonces de sécurité. Ne laissez pas votre château fort numérique sans défense. La sécurité de votre site web en dépend.