C’est sans doute l’outil de création et de gestion de site web le plus populaire au monde. Et pourtant, WordPress, qui a aidé à créer près de la moitié des sites web du monde, possède une énorme faille de sécurité. C’est un plug-in de l’application, à l’origine conçu pour optimiser les performances des sites, qui est mis en cause. On vous explique tout cela.
6 millions de sites web seraient concernés
LiteSpeed Cache, est ainsi un plug-in comme il en existe des milliers sur WordPress qui peut automatiquement optimiser et compresser des images afin de réduire la taille de ces dernières et permettre un temps de connexion et de chargement des pages plus rapide. Un outil particulièrement pratique et puissant donc, et forcément populaire. E
t selon le développeur Rafie Muhammad, cet outil est vulnérable aux attaques et ce seraient 6 millions de sites qui seraient concernés par cette faille.
Des informations accessibles depuis le système de débogage
Ainsi, le développeur a découvert que le système de débogage possédait une vulnérabilité. Cette fonction enregistre en effet tous les en-têtes de réponse HTTP et donc des informations telles que les cookies de session et d’authentification.
Un hacker serait donc techniquement capable d’intercepter ces informations et de se faire passer pour un administrateur du site. Un accès, en soi, relativement simple, puisqu’il est régulier que ce journal de débogage ne soit pas protégé.
Une mise à jour pour corriger le problème
Évidemment, branle-bas de combat du côté des développeurs qui ont rapidement corrigé cette faille afin d’éviter de très gros problèmes. Une version 6.5.0.1 du plugin LiteSpeed Cache a été mise en place et empêche d’avoir un journal accessible à tous. De plus, l’option pour enregistrer les cookies a été purement et simplement supprimée. Deux changements qui devraient rassurer les utilisateurs de ce plug-in.
Encore des millions de sites vulnérables
Mais évidemment, ces derniers devront installer la dernière version du plug-in rapidement. Pour le moment, si des millions de sites sont concernés, seulement un peu moins d’un demi-million de sites ont fait le nécessaire selon WordPress. De nombreux sites restent donc, à l’heure actuelle, vulnérables à des attaques de hackers.
La force de WordPress, également sa faiblesse
Bien sûr, ce n’est pas la première fois que WordPress montre ses limites. Et cela trouve un sens lorsque l’on connaît l’histoire de ce qui, au début, n’était qu’un simple outil pour créer des blogs.
Ouvert en open-source et gratuit, tout le monde peut contribuer aux différentes fonctionnalités de l’outil. Mais devenu aujourd’hui l’un des principaux outils pour créer un site web dans le monde, WordPress souffre aujourd’hui de cette ouverture à cause de développeurs mal intentionnés.
Malgré tout, toujours réactives, les équipes ont pour le moment fait un formidable travail pour mettre à jour leur système rapidement et éviter de mettre en difficulté la moitié des sites du web. Obligatoire, les sites proposant désormais vente, achat et recueil de données personnelles.
Passionné par la technologie, j'ai accumulé plus de 20 ans d'expérience dans la tech. De formation ingénieur en informatique, mon parcours professionnel m'a permis de maîtriser diverses facettes du secteur, des infrastructures aux logiciels. Mon engagement et ma curiosité constante me permettent de rester à la pointe des innovations technologiques.
