François Charron
Sécurité

4 millions de sites WordPress à risques à cause d'une importante faille de sécurité

le lundi 18 novembre 2024
Modifié à 11 h 52 min le 18 novembre 2024
Par François Charron

ecrire@francoischarron.com

Une importante faille de sécurité a été découverte dans un plugin WordPress. Cette vulnérabilité peut permettre à des pirates informatiques d'accéder aux comptes administrateurs des sites l'utilisant. Plus de 4 millions de sites internet à travers le monde sont ainsi en danger s'ils n'installent pas le correctif.

La faille de sécurité a été découverte dans le plugin Really Simple Security des sites WordPress.

Ce qui est ironique c'est qu'il s'agit d'un plugin axé sur la sécurité alors qu'il permet, en autre, la détection en temps réel des vulnérabilités d'un site et permet aussi d'ajouter l'authentification à double facteur.

Toujours est-il que ce plugin a une brèche permettant à des pirates d'attaquer à distance les sites qui l'utilisent. Ces derniers peuvent alors obtenir un accès d'administrateur et prendre le contrôle complet de celui-ci.

La vulnérabilité concerne les versions gratuite et Pro du logiciel, allant des versions 9.0.0 à 9.1.1.1. 

Ce serait plus de 4 millions de sites internet qui utiliseraient ce plugin.

WordFence, qui a découvert la faille, ne mâche pas ses mots en mentionnant:

Il s'agit d'une des vulnérabilités les plus graves que nous avons signalées au cours de nos 12 années d’histoire en tant que fournisseur de sécurité pour WordPress.

Un correctif de sécurité disponible

Un correctif de sécurité a rapidement été déployé via la version 9.1.2 du plugin.

Ainsi, si nous ou notre entreprise avons un site WordPress et que l'on utilise le fameux plugin Really Simple Security, nous avons tout intérêt à aller le mettre à jour rapidement.

Autrement, on met à risque notre site tout entier, alors que les pirates pourront en prendre le contrôle total.

Cette situation rappelle encore une fois l'importance de toujours faire ses mises à jour!