Yahoo Finance Une faille technique menace un million de sites web sous WordPress
Une vulnérabilité dans une extension de WordPress permet de prendre le contrôle du site ciblé. Des attaques auraient déjà été opérées.
L’un des plug-ins les plus populaires pour créer un site sous WordPress contient une faille qui met directement en danger les propriétaires. C’est l’alerte émise par la société de cybersécurité PatchStack, qui a publié le 11 mai dans un billet blog un rapport sur l’extension Elementor.
Le module compromis, « Essential Addons for Elementor », une sorte de catalogue pour personnaliser les pages, a été ajouté par plus d’un million de sites utilisant WordPress, une plateforme qui permet d’avoir un site web fonctionnel très facilement. WordPress est devenu un incontournable aujourd’hui : des millions de sites web l’utilisent.
La brèche permet aux attaquants de lancer une réinitialisation du mot de passe des administrateurs, et donc de prendre le contrôle de leur plateforme. « Cette vulnérabilité est due au fait que cette fonction de réinitialisation ne fait appel à aucune clé de désactivation du précédent de mot de passe, et modifie directement celui de l’utilisateur concerné », peut-on lire dans le rapport.
Elementor est l’extension WordPress qui pose problème. // Source : Elementor
Les conséquences d’une telle vulnérabilité sont potentiellement graves. Cela va de l’accès non autorisé à des informations privées, au défacement ou la suppression de sites web,
Crédits photos de l'image de une : Un vulnérabilité dans une extension wordpress met en danger les sites. // Source : Kevin Phillips - Pixabay
