Écrit par
David Balaban

Utiliser le système de gestion de contenu (CMS) WordPress pour créer un site Web offre de nombreux avantages. Il est open source, flexible et incroyablement facile à configurer. Le principal avantage est que le service est clé en main, ce qui signifie que vous n’avez pas à réinventer la roue en écrivant votre propre code. Il existe des tonnes de modèles de sites et de plugins disponibles instantanément. Toutes ces vertus font de WordPress le premier CMS au monde avec un seul Part de marché d’environ 60%.

Le gros inconvénient de cette grandeur et de la domination mondiale de WordPress dans son créneau est que les cybercriminels se concentrent sur la recherche de moyens d’exploiter ses composants. Bien que les plugins WP rendent le travail tellement plus facile pour les webmasters et les visiteurs du site Web, ils s’avèrent être le maillon le plus faible de cet écosystème en raison des failles de sécurité béantes de certains d’entre eux. Voici un aperçu des incidents récents où des imperfections dans les plugins WordPress peuvent conduire à des campagnes de cybercriminalité massives.

Le plugin propriétaire de Google s’avère être un fruit à portée de main

Site Kit, un plugin WP populaire créé par Google, a un bogue qui permet aux acteurs de la menace d’accéder et de saboter la console de recherche Google d’un site Web ou de profiter d’un accès non autorisé. L’erreur augmentait les autorisations fouillé Fin avril 2020 par les chercheurs et il a fallu environ deux semaines aux développeurs pour y remédier. Bien que la version corrigée, Site Kit 1.8.0, existe depuis un certain temps, des dizaines de milliers de sites Web utilisent toujours l’ancienne version, qui est simple à utiliser.

Il s’agit d’une vulnérabilité de sécurité à deux volets. Tout d’abord, la version précédente de Site Kit fournit l’URL que le plugin utilise pour interagir avec la Google Search Console. Deuxièmement, la configuration manque de mécanismes appropriés pour vérifier les rôles des utilisateurs. Cette combinaison de vulnérabilités peut être utilisée pour étendre les autorisations d’un abonné régulier jusqu’aux autorisations de niveau propriétaire.

Les conséquences de ce jeu malveillant peuvent aller de l’influence du classement Google d’un site Web à la prévention de l’indexation des pages, à l’injection de code malveillant et au vol de données SEO sensibles. Cette zone d’accès est un terrain fertile pour les gadgets d’un concurrent sans scrupules.

Le plugin Buggy WP met plus d’un million de sites Web en danger

Deux failles critiques dans le très populaire plugin WordPress de Page Builder peuvent devenir une rampe de lancement pour obtenir des privilèges administratifs et prendre le contrôle de sites Web. Le problème est particulièrement préoccupant étant donné que ce composant flexible de création de pages compte plus d’un million d’installations actives dans le monde, ce qui signifie que la surface d’attaque potentielle est énorme. Ces deux bogues ont été classés comme falsification de requête intersite (CSRF) découvert Début mai 2020.

Une mauvaise gestion des fonctions vulnérables builder_content et Live Editor du plugin pourrait permettre à un adversaire d’enregistrer un nouveau compte administrateur ou de maintenir un accès de porte dérobée au site Web WordPress. De plus, des cybercriminels expérimentés peuvent utiliser ce vecteur d’attaque pour compromettre l’ensemble du site. En l’honneur des développeurs, ils ont publié un correctif le lendemain, que les chercheurs les ont informés de leurs résultats. Il appartient désormais à de nombreux webmasters de mettre à jour leur plugin vers la dernière version sécurisée, ce qui peut prendre des semaines.

Le plugin Popup Builder est également dangereux à utiliser

Avec plus de 100000 installations actives dans son portefeuille, Popup Builder est un excellent outil pour améliorer la facette marketing d’un site Web WordPress grâce à une fonctionnalité flexible de personnalisation des popups via des promotions et des offres d’abonnement. Cette grandeur a été détruite par les chapeaux blancs en mars 2020 trouvé un certain nombre de bugs cela pourrait devenir la cheville ouvrière d’un compromis à grande échelle.

L’une de ces vulnérabilités (CVE-2020-10196) permet à un pirate d’insérer du code JavaScript indésirable dans n’importe quelle fenêtre contextuelle, ce qui incite les visiteurs du site Web à le faire. redirigé vers des sites malveillants au lieu d’aller à la ressource prévue. L’autre bogue (CVE-2020-10195) fait passer le compromis au niveau supérieur en offrant la possibilité d’obtenir des informations sur Popup Builder. Par exemple, tout utilisateur authentifié peut voler la liste des abonnés à la newsletter du site. Les droits d’administrateur ne sont pas nécessaires pour démarrer ce raid.

En réponse au rapport de vulnérabilité, le fournisseur a immédiatement publié un correctif. Les propriétaires de sites Web utilisant ce plugin doivent obtenir la dernière version dès que possible pour éviter les problèmes mentionnés ci-dessus.

Trois plugins vulnérables qui ont été exploités dans des attaques du monde réel

Les plugins WordPress avec les noms ThemeGrill Demo Importer, Profile Builder et Duplicator peuvent être exploités afin qu’un auteur puisse contourner l’authentification et effectuer une astuce pour augmenter les autorisations. Pire encore, ces plugins non sécurisés ont été activement parasités par plusieurs attaquants.

Selon les analystes de la sécuritéUn acteur de la menace nommé « Tonyredball » se concentre sur un bogue d’enregistrement d’administrateur dans les plugins « Profile Builder » et « ThemeGrill Demo Importer ». Ce dernier est plus gravement touché car une seule demande d’inscription pour un compte administrateur peut ouvrir la voie au coupable pour effacer toute la base de données du site Web. Bien que Profile Builder puisse être exploité de la même manière, les dommages se limitent à l’exécution de scripts malveillants.

Le pirate informatique se sert généralement de ce compromis en intercalant des éléments JavaScript avec du code fragmentaire. Après cette manipulation, les visiteurs du site Web sont redirigés vers des pages indésirables qui affichent des demandes de déclenchement de notifications push Web. Si cette blague échoue, les utilisateurs seront confrontés à des publicités ennuyeuses et à des redirections incessantes du navigateur. Selon des estimations approximatives basées sur les statistiques d’utilisation du plugin, le nombre de sites Web affectés par cette erreur peut atteindre 70000.

Un autre acteur malveillant, nommé « solarsalvador1234 », utilise un Erreur dans le plugin duplicateuravec plus d’un million d’installations. Les versions précédentes de cet outil de clonage et de migration de site Web WordPress présentaient une vulnérabilité qui pourrait permettre à un attaquant de télécharger le fichier wp-config.php, qui stocke des informations sensibles, y compris les informations d’identification de l’administrateur.

Problèmes avec le plugin de réinitialisation de la base de données

En janvier 2020, les analystes de Wordfence a révélé deux vulnérabilités WP Database Reset utilise un plugin qui réinitialise les tables de base de données à leur état d’origine. Plus de 90 000 installations sont actuellement actives. L’un de ces bogues (CVE-2020-7047) est une source potentielle d’escalade des autorisations qui pourrait permettre à un criminel de supprimer tous les utilisateurs d’une configuration WordPress via une demande spécialement conçue. L’autre bogue (CVE-2020-7048) est classé comme critique. En cas d’exploitation, un attaquant pourrait réinitialiser la base de données d’un site WP à son état par défaut.

Dans les deux scénarios, la prise de contrôle complète du site est assez simple à réaliser. Les lacunes ont depuis été corrigées, mais des milliers d’instances de réinitialisation de base de données restent vulnérables car les webmasters négligent l’hygiène des mises à jour.

Erreur du client InfiniteWP entraînant un accès non autorisé

La gestion d’un nombre illimité de sites WordPress à partir d’un serveur central est facile avec le plugin client InfiniteWP, qui comprend plus de 300 000 installations dans le monde. Experts en sécurité en janvier 2020 a trouvé une grave erreur dans cette entité qui expose les sites Web à une attaque de contournement d’authentification. Les fonctions brutes add_site et readd_site manquent de contrôles d’authentification, de sorte qu’une certaine charge utile encodée en Base64 peut être utilisée pour accéder à un site sans mot de passe valide. La seule information dont le criminel a besoin est le nom d’utilisateur de l’administrateur. Une mise à jour du plugin qui corrige ce bogue a été introduite peu de temps après sa découverte, mais de nombreux propriétaires de sites Web ne l’ont pas encore appliquée pour être du bon côté.

Erreur du jour zéro dans le module complémentaire ThemeREX

ThemeREX Addons, un plugin WordPress utilisé sur environ 50000 sites Web, présente une vulnérabilité d’exécution de code à distance. Déterré à la mi-février 2020, le échappatoire Permet à un malfaiteur de lancer une commande douteuse qui ajoutera de nouveaux comptes d’administrateur en un clin d’œil. Il s’agit évidemment d’un raccourci vers un compromis sur le site Web. L’éditeur avait trouvé une solution en mars qui conseillait aux webmasters de supprimer le fichier « ~ / plugin.rest-api.php », qui s’est avéré être un composant de plugin défectueux. Cela n’affecte pas défavorablement un site car le noyau WordPress prend désormais en charge les fonctionnalités précédemment fournies dans le fichier ci-dessus.

Un bug dans le plugin GDPR Cookie Consent est un double problème

C’est au panthéon des 100 meilleurs plugins WP avec un total de plus de 800 000 installations actives. L’objectif est de combler le fossé entre les sites Web et Conformité au RGPD via des bannières de politique de cookies entièrement personnalisables. En janvier 2020, les chercheurs ont identifié une faille de sécurité grave dans la version 1.8.2 et les versions antérieures du plugin. La faille peut être exploitée pour effectuer des scripts intersites et une intervention pour augmenter les autorisations. L’un des vecteurs d’attaque est de changer le statut d’un article spécifique ou de l’ensemble du site WordPress en « Brouillon » – efficacement; Cela empêchera le contenu d’être affiché aux visiteurs.

De plus, le bogue facilite la modification, l’ajout ou la suppression de matériaux. Pour couronner le tout, l’injection malveillante de JavaScript est un autre résultat possible de l’attaque. Ceci est également possible avec des autorisations au niveau de l’abonné. Bien que la version corrigée soit arrivée le 10 février, de nombreuses instances de plugins attendent toujours d’être mises à jour.

En bout de ligne

Chaque configuration WordPress est à moitié cuite sans plugins. Ils améliorent la fonctionnalité d’un site de plusieurs manières et l’alignent avec les besoins du webmaster. À côté de tout le monde Des risques et les menaces, les plugins bogués deviennent un point d’entrée majeur pour les pirates. Ce problème est particulièrement préoccupant car une seule vulnérabilité pourrait exposer des centaines de milliers de sites Web à des attaques secrètes.

Le moyen le plus efficace d’éviter le pire des cas est de maintenir les plugins WP à jour. C’est une évidence la plupart du temps – un rapide coup d’œil au tableau de bord WordPress dira si une nouvelle version est disponible avec les derniers correctifs à bord. Une autre bonne habitude est de s’y tenir nouveaux rapports de vulnérabilité des services de confiance comme Wordfence. Assurez-vous de suivre ces recommandations simples pour faire de votre site Web une cible mobile.


David Balaban est un chercheur en sécurité informatique avec plus de 15 ans d’expérience dans l’analyse de logiciels malveillants et l’évaluation de logiciels antivirus



Source link

Recent Posts