Ces 3 plugins WordPress populaires sont ciblés par des pirates, mettez-les à jour !

ces 3 plugins wordpress populaires sont ciblés par des pirates, mettez-les à jour !

3 nouveaux plugins WordPress touchés par des failles critiques © 360b / Shutterstock

3 nouveaux plugins WordPress touchés par des failles critiques © 360b / Shutterstock

Des chercheurs en sécurité ont découvert que des pirates exploitent activement trois vulnérabilités critiques affectant les plugins WordPress WP Statistics, WP Meta SEO et LiteSpeed Cache. Des millions de sites sont menacés par ces failles.

Les doigts de la main ne suffisent plus à les compter. De redoutables attaques visant trois plugins WordPress très populaires sont en cours. Selon les experts du site Fastly, les plugins WP Statistics, WP Meta SEO et une nouvelle fois LiteSpeed Cache présentent des failles de sécurité graves permettant l'injection de code malveillant sur les sites web les utilisant.

Les vulnérabilités en question (CVE-2024-2194, CVE-2023-6961 et CVE-2023-40000) sont des failles XSS stockées non authentifiées. Elles autorisent l'exécution de scripts malveillants depuis des domaines externes contrôlés par les hackers. Ces scripts créent de nouveaux comptes admin, injectent des portes dérobées dans les sites et mettent en place un système de suivi des victimes. Autant dire qu'ils ne laissent aucune donnée leur échapper.

ces 3 plugins wordpress populaires sont ciblés par des pirates, mettez-les à jour !

Les meilleurs plugins de sécurité pour WordPress en 2024

A découvrir

Les meilleurs plugins de sécurité pour WordPress en 2024

26 mars 2024 à 16:52

Comparatifs services

Des millions de sites web menacés par ces plugins vulnérables

Après LiteSpeed en mars 2024 et LayerSlider en avril 2024, c'est au tour de trois autres plugins WordPress, qui comptent des millions d'installations actives, de présenter de nombreuses versions vulnérables non corrigées. La faille la plus critique concerne le plugin WP Statistics, avec 48 % de ses 600 000 installations exposées. WP Meta SEO totalise 27 % de ses 20 000 installations vulnérables, tandis que LiteSpeed Cache compte 15,7 % de ses 5 millions d'installations non sécurisées.

Le code malveillant injecté fait de graves dégâts. Il compromet totalement les sites web en créant un compte admin pirate, en ajoutant des portes dérobées dans les plugins et thèmes WordPress, et en implémentant un système de suivi des sites infectés. Mais les plugins ne sont pas les seuls éléments du célèbre CMS à être sensibles aux vulnérabilités. En février 2024, une faille dans le thème Bricks exposait 25 000 sites à l'injection de code malveillant, transformant les hackers en administrateurs de ces sites.

ces 3 plugins wordpress populaires sont ciblés par des pirates, mettez-les à jour !

Si vous êtes admin d'un site WordPress qui utilise ces plugins, mettez-les vite à jour © David MG / Shutterstock

Si vous êtes admin d'un site WordPress qui utilise ces plugins, mettez-les vite à jour © David MG / Shutterstock

Comment sécuriser son site contre ces attaques ?

Les chercheurs de Fastly recommandent bien sûr la prudence aux admins qui utilisent ces thèmes, leur conseillant de les mettre à jour vers les dernières versions corrigées. Ils doivent ensuite supprimer les dossiers des anciennes versions vulnérables et effectuer un audit complet.

Ils invitent également les propriétaires de ces sites à effectuer une vérification de la présence d'un utilisateur suspect « [email protected] », la recherche du code malveillant injecté (scripts externes, portes dérobées PHP) et la surveillance des requêtes sortantes suspectes (vers ur.mystiqueapi.com notamment).

Si, hélas, il est trop tard et que le site est infecté, il est recommandé d'effectuer une réinstallation complète. Les experts avertissent que ces attaques d'envergure proviennent majoritairement des Pays-Bas, au travers d'un réseau d'adresses IP liées au fournisseur IP Volume Inc.

Ces failles ne font pour autant pas vaciller le géant des CMS. WordPress, qui a soufflé en mai 2023 ses 20 bougies et reste l'éditeur de contenu le plus plébiscité autour du monde. Au printemps 2024, WordPress alimente 43,2 % des sites web mondiaux. Ses pages reçoivent plus de 20 milliards de vues par mois de la part de plus de 409 millions de personnes. À raison de 27 nouvelles publications par seconde, soit 70 millions par mois, générant 77 millions de commentaires, la popularité du CMS ne se dément pas.

ces 3 plugins wordpress populaires sont ciblés par des pirates, mettez-les à jour !

WordPress

Voir l'offre

Lire l'avis 8

WordPress

  • Apprentissage rapide
  • Des milliers de thèmes
  • Presque 60 000 extensions

WordPress est la star incontestée du web. Son ergonomie, la richesse de ses templates (réactifs, gratuits ou payants), la myriade d’extensions, ses capacités en référencement séduisent. Revers de la médaille, il concentre l’essentiel des cyberattaques et devient rapidement lent. Les propriétaires de sites WordPress ont la fâcheuse tendance à accumuler les extensions inutiles, souvent sans les mettre à jour. Selon les besoins de l’entreprise ou du particulier, il convient donc de vérifier la pertinence de ce CMS.

WordPress est la star incontestée du web. Son ergonomie, la richesse de ses templates (réactifs, gratuits ou payants), la myriade d’extensions, ses capacités en référencement séduisent. Revers de la médaille, il concentre l’essentiel des cyberattaques et devient rapidement lent. Les propriétaires de sites WordPress ont la fâcheuse tendance à accumuler les extensions inutiles, souvent sans les mettre à jour. Selon les besoins de l’entreprise ou du particulier, il convient donc de vérifier la pertinence de ce CMS.

Source : Bitdefender, Fastly

OTHER NEWS

1 hour ago

Football : quand Cristiano Ronaldo investit dans la porcelaine

1 hour ago

Slam (France 3) : la première de Théo Curin sera diffusée le…

1 hour ago

"Les 25 dernières minutes sont géniales" : Stephen King valide totalement ce film français qui fait sensation sur Netflix

1 hour ago

L'Iran et la Suède procèdent à un échange de prisonniers

1 hour ago

María Herrera domine et devient la première gagnante du WorldWCR après une course tumultueuse.

1 hour ago

Le rêve olympique de Camille Serme qui sort de sa retraite et vise Los Angeles 2028

1 hour ago

Mia Rusthen a subi une blessure à la tête mais est dans un état stable après un grave accident dans le WorldWCR à Misano.

1 hour ago

Huées, insultes, slogans: les militants anti-monarchie étaient aussi là à l'anniversaire officiel de Charles III

1 hour ago

Euro 2024 : Le calendrier (+ résultats) complet des matchs à la télévision

2 hrs ago

Tout ce qu’on sait sur le film Swamp Thing

2 hrs ago

Mercato OM : La bataille avec l’OL pour un joueur de Naples

2 hrs ago

Législatives 2024 : les premiers candidats de l'alliance entre le RN et Les Républicains présentés

2 hrs ago

Ivana Knoll, la sulfureuse croate s’affiche à l’Euro 2024

2 hrs ago

Disponibles en streaming, ces deux films d’action ont rapporté 1,4 milliard de dollars

2 hrs ago

« Plus de la moitié des entreprises manquent de personnel ayant des compétences en IA »

2 hrs ago

Cette "stratégie originale" qu'ont développé les parents de Kylian Mbappé, millionnaire à 16 ans, pour faire grossir sa fortune

2 hrs ago

Mercato OM : On connait la date d’arrivée de De Zerbi

2 hrs ago

Rugby : le XV de France se teste sur la chaîne L’Équipe

2 hrs ago

Ferrari et Porsche mènent la danse, la pluie fait une première apparition

2 hrs ago

Mercato : Le PSG prépare une folie pour un phénomène au milieu

2 hrs ago

Alexis Lebrun et Simon Gauzy battus en finale du double au Star contender de Ljubljana

2 hrs ago

Ici tout commence spoilers : la vérité sur Quentin, une surprise pour Laetitia, ce qui vous attend la semaine prochaine (résumés et vidéo du 17 au 21 juin 2024)

2 hrs ago

Emoi après la "purge" à LFI, surprise du retour de Hollande... la gauche inquiète pour son Nouveau Front populaire

2 hrs ago

Union Bordeaux-Bègles - Racing 92. Les compositions officielles du barrage de Top 14

2 hrs ago

Huit soldats israéliens tués dans la bande de Gaza, annonce Tsahal

2 hrs ago

Avant la L1, l’ASSE risque de perdre une fortune

2 hrs ago

Light dévoile un nouveau téléphone minimaliste avec un écran OLED noir et blanc

2 hrs ago

Antivol de caravane : nos lecteurs partagent leurs astuces

2 hrs ago

Le film Justice League dont les fans rêvaient existait, mais à cause de Zack Snyder, il a fini à la poubelle

2 hrs ago

Alpine A290, Fiat Panda, Toyota Yaris Cross restylé... les nouveautés et scoops de la semaine

2 hrs ago

L'Espagne en pleine démonstration face à la Croatie à la pause !

2 hrs ago

Législatives 2024 : Jérôme Guedj candidat, mais pas sous la bannière Nouveau Front populaire

2 hrs ago

Législatives 2024 : qui sont les principaux candidats déclarés dans votre circonscription ?

2 hrs ago

Zelensky annonce qu'il présentera des propositions de paix à la Russie une fois agréées par la communauté internationale

2 hrs ago

Mobilisation contre l'extrême droite: 250.000 manifestants présents à Paris pour la CGT, 75.000 selon la police

2 hrs ago

Vidéo - Gros crash d'une Ferrari en LMGT3

2 hrs ago

Eric Gerets sous le charme d'un Diable Rouge : "Il a le talent pour briller à l'Euro"

2 hrs ago

Vidéo - 24 Heures du Mans : Une Toyota percute une GT3 lors du Warm-up !

2 hrs ago

Nous visitons la cellule Billys Confort : la vanlife en pick-up 4×4

2 hrs ago

Algérie : colère contre les coupures d’internet durant le bac