En tant que l’un des meilleurs gestionnaires de contenu, WordPress est constamment évalué et les vulnérabilités recherchées. Ce processus a révélé des failles importantes qui sont rapidement résolues.

L’un des plus récents est arrivé, associé à l’un des plugins les plus utilisés et forcé à des mesures extrêmes. Des millions de sites WordPress ont été mis à jour à distance pour résoudre ce grave problème affectant le plugin UpdraftPlus.

Une partie importante de WordPress réside dans ses plugins et ce qu’ils peuvent offrir à vos gestionnaires de site. Ceux-ci complètent ce que propose ce CMS de base, étendant ses fonctionnalités à un niveau, toujours ajusté et adapté à l’objectif visé.

À la suite d’une audience de sécurité régulière menée par Jetpack, l’un de leurs enquêteurs a découvert un problème de sécurité très grave. C’est dans le plugin UpdraftPlus, utilisé pour gérer les sauvegardes de base de données WordPress.

Ce que le chercheur Marc Montpas a découvert remet en cause tous les sites où ce plugin est installé. Sans grand effort ni complication, tout utilisateur enregistré sur le site pourra accéder à n’importe quelle copie de sauvegarde et même vous l’exporter.

Cet échec résultait de 2 problèmes apparemment simples à résoudre et qui exposaient les sauvegardes. Le premier résultait d’une implémentation incorrecte de la validation des autorisations d’administration de WordPress. La seconde était dans une variable utilisée pour valider ces mêmes autorisations, qui était facilement modifiable.

La solution trouvée pour résoudre ce problème était simple et même très rapide, vu son importance. Une fois le bug atténué et le problème résolu dans UpdraftPlus, l’équipe WordPress a forcé une mise à jour des sites sur lesquels ce plugin est installé.

C’est grâce à cette mesure rapide et très précise que des millions de sites Web basés sur WordPress ont été à l’abri d’un grave problème entraînant le vol d’informations, dont certaines étaient sensibles. Encore une fois, la nécessité de contrôler les plugins utilisés et leur portée dans ce CMS est évidente.