Si les alternatives se veulent de plus en plus nombreuses, WordPress demeure toujours parmi les meilleurs gestionnaires de contenus pour créer un site web. Jouissant d’une importante communauté, et proposant un large choix de plugins et de thèmes gratuits, WordPress est aujourd’hui une solution incontournable pour les personnes désirant se lancer dans la création de leur site internet, notamment en raison de sa simplicité d’utilisation.
Mais, depuis quelques jours, un thème est la cible d’une faille de sécurité activement exploitée par les pirates, susceptible d’affecter pas moins de 25 000 sites et dont la gravité a été évaluée à 9,8 sur 10 sur le Common Vulnerability Scoring System (CVSS).
Le 10 février dernier, un expert en sécurité connu sous le nom de « Snicco » a signalé une faille affectant le thème Bricks de WordPress via la plateforme Patchstack. Cet outil, alimenté par « une communauté de hackers éthiques », aide à identifier les vulnérabilités au sein de l’écosystème WordPress (plugins, thèmes, sites web…).
Identifiée sous le nom CVE-2024-25600, cette vulnérabilité permet à des pirates d’exécuter du code PHP arbitraire à distance, comme cela nous est rapporté par The Hacker News. Par conséquent, ces derniers pourraient s’emparer d’un site sans disposer des informations d’identification de l’utilisateur. Notez au passage que toutes les versions du thème sont concernées jusqu’à la 1.9.6.
Fort heureusement, les développeurs du thème ont été réactifs et ont rapidement publié la version 1.9.6.1 de Bricks, assurant ainsi aux utilisateurs un moyen de se protéger contre cette vulnérabilité.
Depuis le 13 février, soit seulement quelques jours après le premier signalement, les utilisateurs du thème Bricks peuvent installer les derniers correctifs afin d’atténuer les menaces potentielles. Au 19 janvier, toujours selon les informations rapportées par The Hacker News, près de quarante tentatives d’attaque exploitant la faille avaient déjà été détectées.
Bricks totalisant environ 25 000 installations actives à l’heure où sont écrites ces lignes, les clients du thème ont tout intérêt à installer sans plus attendre la version 1.9.6.1. Plus vous retarderez son installation, plus vous vous exposerez au risque qu’un pirate puisse s’emparer de votre site web. Pour rappel, il vous suffit de vous rendre dans le tableau de bord de WordPress pour installer en un seul clic la mise à jour.
avec clubic