Vous reprendrez bien une dose de plugins WordPress vérolés ? Cette fois, c’est un anti-spam populaire qui s’y colle, avec pas une, mais deux failles critiques à patcher d’urgence.

Deux failles de sécurité majeures dans un plugin WordPress menacent (encore) des centaines de milliers de sites © Tada Images / Shutterstock
Deux failles de sécurité majeures dans un plugin WordPress menacent (encore) des centaines de milliers de sites © Tada Images / Shutterstock

Wordpress au cœur de l’actualité cybersécu, épisode 2345. Les chercheurs de WordFence sonnent une fois de plus l’alerte concernant un plugin doublement défaillant. Baptisé Anti-Spam by CleanTalk, le module censé lutter contre les messages indésirables pourrait laisser passer bien pire sur près de 200 000 sites. En cause : deux failles de sécurité extrêmement sérieuses, permettant à des hackers d’exécuter du code à distance et de s’emparer des contrôles admin sans authentification préalable.

Un plugin qui protège… ou presque

Si ces vulnérabilités font parler, c’est qu’en dehors de leur vaste surface d’attaque potentielle, elles cochent toutes les cases des failles à patcher le plus rapidement possible.

La première, estampillée CVE-2024-10542, affiche un score CVSS presque parfait de 9.8, niveau de sécurité critique. Dans le détail, elle permet à des pirates non authentifiés d’installer et d’activer à tour de bras des plugins malveillants sur les sites attaqués, ouvrant la voie à des intrusions et à une prise de contrôle complète du site.

La seconde, CVE-2024-10781, score CVSS identique à la première, permet peu ou prou de mener des attaques de même type. Conséquence : les pirates peuvent manipuler votre site à distance avec une facilité déconcertante.

Contactée par les équipes de WordFence dès le 30 octobre, CleanTalk n’a pas tardé à réagir, publiant un premier correctif le 1er novembre, doublé d’un second le 14 novembre. Si vous faites partie des utilisateurs et utilisatrices du plugin compromis, mieux vaut vérifier que vous utilisez bien la version 6.45 ou ultérieure. Dans le cas contraire, mettez-le à jour sans attendre.

Deux failles critiques dans le plugin WordPress Anti-Spam by CleanTalk menacent 200 000 sites web © TippaPatt / Shutterstock
Deux failles critiques dans le plugin WordPress Anti-Spam by CleanTalk menacent 200 000 sites web © TippaPatt / Shutterstock

Un cas loin d’être isolé

Celles et ceux qui ont suivi les dernières actualités WordPress savent que cette affaire n’a rien d’une exception dans l’écosystème de la plateforme d’édition. Mi-novembre, le plugin Really Simple SSL, installé sur plus de 4 millions de sites, était sujet à une vulnérabilité permettant de contourner l’authentification à deux facteurs et d’obtenir un accès à la console de gestion admin.

Quelques semaines plus tôt, Jetpack corrigeait une faille vieille de sept ans, touchant 27 millions d’installations actives, tandis que LiteSpeed Cache, utilisé par 6 millions de sites, essuyait deux failles critiques en seulement deux mois.

Des incidents récurrents qui ne font que confirmer une réalité : les plugins WordPress, aussi populaires soient-ils, sont loin d’être infaillibles. Pour limiter la casse, quelques réflexes simples, mais essentiels, s’imposent.

Comme toujours, ne repoussez jamais la mise à niveau de vos plugins, thèmes et versions de WordPress. Si des updates sont déployées, il y a sûrement une vraie bonne raison derrière. Pensez aussi à bien contrôler la sécurité des modules que vous téléchargez : évitez d’installer des extensions peu utilisées et/ou peu mises à jour, pour éviter tout risque failles non patchées, voire de plugins intentionnellement malveillants.

Faites enfin régulièrement le ménage parmi les modules que vous n’utilisez plus. Une bonne manière de réduire facilement les surfaces d’attaque, et donc les mauvaises surprises.

Source : WordFence

À découvrir
Les meilleurs créateurs de sites web (comparatif 2024)

29 novembre 2024 à 16h20

Comparatifs services