Les failles, WordPress commence à les connaître ! En 2019, une faille de sécurité ouverte depuis 6 ans était corrigée, tandis que peu de temps après, nous apprenions que WordPress lui-même avait été élu le CMS le plus vulnérable de 2018.

Le plugin de tous les dangers

Avis aux éditeurs de sites wordpress : un plugin vendu avec certains thèmes de ThemeGrill comporte une importante faille de sécurité. Exploitée, la vulnérabilité pourrait aboutir à une attaque supprimant totalement le site. Selon ZDNet, le plugin en question s’intitule ThemeGrill Demo Importer, il est vivement recommandé de le mettre à jour afin de faire disparaître la faille.

Actuellement, le plugin est installé sur plus de 200 000 sites web et il offre aux propriétaires de sites l’opportunité d’importer des exemples de contenus sur lesquels se baser pour construire son propre site.

Toutes les versions de ThemeGrill Demo Importer causent des soucis à WordPress

La société de sécurité liée à WordPress, WebARX, a indiqué dans un rapport partagé dimanche que les anciennes versions ThemeGrill étaient déjà vulnérables, aux attaques à distance. Les hackers peuvent transmettre au plugin une charge spécifique et pensée exclusivement pour les sites vulnérables, et ils sont ensuite en mesure de déclencher une fonction dans le plugin.

Cela va alors conduire à la réinitialisation de l’intégralité du site, les données seront ainsi perdues. La société de sécurité a précisé que le développeur du plugin, ThemeGrill a corrigé la version 1.6.2 le weekend passé. Il faut néanmoins continuer d’être vigilant avec les anciennes versions utilisées, notamment les versions 1.3.4 et 1.6.1.

WordPress continue donc de faire les frais de vulnérabilités, c’est déjà la deuxième détectée dans un plugin cette année. D’autres problèmes précèdent avec notamment une vulnérabilité stockée dans le plugin lié au cookie du consentement au RGPD, plugin utilisé par quelques 700 000 sites, ou encore un bug de contournement de l’authentification dans le plugin InfiniteWP, un plugin adopté sur “seulement” 300 000 sites.