MailPoet, un plugin Wordpress responsable de la vulnérabilité de milliers de sites

L'éditeur en sécurité Sucuri alerte la communauté des utilisateurs de Wordpress suite à la découvert d'une sérieuse vulnérabilité dans un plugin à l'usage répandu. 50 000 sites l'utilisant auraient déjà été piratés.

L'extension Mailpoet, destinée à mettre en place une newsletter sur un blog Wordpress, est à l'origine d'un gros problème de sécurité sur la célèbre plateforme. Le site de Sucuri, qui relevait début juillet le problème, constate que le piratage des sites utilisant le plugin a connu un pic conséquent ces dernières semaines, avec environ 50 000 domaines touchés. « Notre service de contrôle des sites nous en signale quelques milliers supplémentaires chaque jour » explique l'éditeur en sécurité.

Si Mailpoet est à l'origine du problème, il faut néanmoins préciser que les développeurs de l'extension ont comblé la faille dès qu'elle a été signalée. Le problème réside désormais dans les sites qui utilisent une version périmée du plugin, dans laquelle perdure la faille de sécurité. Cette dernière permet, comme souvent avec les failles Wordpress, à des pirates d'introduire une porte dérobée (backdoor) dans les dossiers du blog. Caché dans un faux thème, l'accès peut passer longtemps inaperçu, et peut permettre aux pirates de diffuser des logiciels malveillants par le biais du site. « Le plus gros problème de cette injection, c'est qu'elle remplace souvent de bons fichiers par de mauvais, rendant très difficile la reprise du contrôle du site, à moins de disposer d'une sauvegarde complète » explique Sucuri.

Précisons enfin que Mailpoet n'a pas besoin d'être activé sur Wordpress pour être vulnérable : à partir du moment où le plugin est installé, il y a un risque. Par ailleurs, même si l'extension a été mise à jour, il apparaît utile de vérifier si le site n'a pas été infecté avant que la mise à niveau ne soit réalisée.