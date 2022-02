WordPress est le CMS le plus utilisé sur Internet. Avec une utilisation simple et rapide, il est très facile pour quiconque de créer son site Web et de le maintenir, sans avoir besoin de connaissances avancées.

Une vulnérabilité a maintenant été trouvée, dans l’un des plugins les plus utiles. Il laisse tout site Web sur lequel il est installé vulnérable et ouvre la porte à des attaques potentielles, qui peuvent être dévastatrices. Après tous les problèmes que nous avons vus, il vaut mieux mettre à jour rapidement ce plugin pour être protégé.

Faille de sécurité dans un plugin

La philosophie de base de WordPress est en place depuis de nombreuses années et a porté ses fruits. C’est le système de gestion de contenu le plus utilisé, vous permettant de créer un site Web en quelques minutes, avec un ensemble de modèles et de plugins qui peuvent être installés et utilisés rapidement.

C’est précisément l’un de ces plugins, un élément qui élève encore plus les fonctions, qui pose problème aux utilisateurs de Wordrpess. Appelé PHP Everywhere, il permet de placer du code PHP dans n’importe quel élément. Il a 3 failles de sécurité sérieuses identifiées et prêtes à être exploitées.

Juste mettre à jour dans WordPress

La plus grave de ces vulnérabilités vous permet d’exécuter du code PHP à distance sur n’importe quel site Web sur lequel PHP Everywhere est installé. Il ne nécessite pas d’identifiants d’accès et le code envoyé serait présent en permanence sur le site.

Les deux vulnérabilités restantes ont permis la création de pages et d’autres éléments sur des sites Web, qui ont ensuite été exploités. A noter que dans ces 2 cas il a fallu modifier les paramètres de sécurité de ce plugin WordPress, chose qui n’est pas normale.

Rend n’importe quel site Web vulnérable

Ces 3 défauts sont classés comme hautement critiques, ils devraient donc être rapidement traités dans WordPress. Autoriser l’exécution de code à distance et modifier le site lui-même créé. Dans les cas extrêmes, il sera possible de prendre le contrôle de n’importe quelle installation de ce CMS.

Les 3 failles ont été découvertes en janvier et sont déjà résolues par les programmeurs qui maintiennent PHP Everywhere. Ainsi, la solution à ce problème est simple et consiste à mettre à jour ce plugin, directement dans l’interface d’administration de WordPress.