Une faille de sécurité touche plus de 6 millions de sites WordPress
Une vulnérabilité a été identifiée dans un plugin WordPress très utilisé, menaçant ainsi la sécurité de millions de sites web. Les pirates peuvent exploiter cette faille pour prendre le contrôle d’un site sans que l’administrateur ne s’en aperçoive.
Selon un rapport de Bleeping Computer, plus de six millions de sites WordPress sont exposés à des attaques. Le développeur Rafie Muhammad de Patchstack a révélé l’existence d’une faille de sécurité dans le plugin LiteSpeed Cache, qui est principalement utilisé pour optimiser les performances des sites fonctionnant sur des serveurs LiteSpeed.
Une vulnérabilité dans un plugin très populaire
Le plugin LiteSpeed Cache est massivement adopté pour sa capacité à compresser et optimiser automatiquement les images, réduisant ainsi leur taille et améliorant les temps de chargement des pages. Ce plugin, reconnu comme le plus populaire de l’écosystème WordPress, est simple à utiliser et efficace, mais il présente désormais un risque pour la sécurité de nombreux sites.
La vulnérabilité a été découverte dans la fonction de journalisation du plugin, qui permet d’analyser le comportement de LiteSpeed et d’identifier des problèmes. Cette fonctionnalité enregistre tous les en-têtes de réponse HTTP, comprenant des informations sensibles comme des cookies de session ou d’authentification.
Un hacker qui parvient à intercepter ces données peut se faire passer pour un administrateur et ainsi prendre le contrôle du site web visé. L’attaquant n’a qu’à accéder au fichier journal de débogage, qui n’est pas toujours protégé par des restrictions d’accès, et dans certains cas, il est placé dans un répertoire accessible publiquement sur le serveur. Il suffit alors à l’attaquant de saisir l’URL correspondante dans un navigateur pour y accéder.
Un correctif a été déployé
Heureusement, les développeurs de LiteSpeed Cache ont rapidement réagi en corrigeant la vulnérabilité. La mise à jour de la version 6.5.0.1 du plugin, lancée peu après la découverte de la faille, apportait des modifications significatives à la gestion du journal de débogage. Dorénavant, ce document est conservé dans un emplacement sécurisé et dédié. De plus, l’option qui consulte les cookies a été supprimée.
Les administrateurs de sites concernés sont vivement conseillés d’installer cette récente version du plugin sans délai. Malheureusement, statisitiques à l’appui, moins de 400 000 administrateurs ont actuellement mis en œuvre le correctif, laissant donc des millions de sites vulnérables.
Cela n’est pas un incident isolé, car ce n’est pas la première fois qu’un plugin WordPress présente une faille de sécurité mettant en péril de nombreux sites. Il y a quelques mois, une vulnérabilité dans un autre plugin, Popup Builder, avait entraîné le piratage de milliers de sites utilisateurs de WordPress avant qu’une mise à jour ne soit appliquée.
Il est crucial pour toutes les entreprises et particuliers utilisant WordPress de rester vigilants face aux risques de sécurité et d’assurer la mise à jour de leurs plugins afin de protéger leurs sites.