Les doigts de la main ne suffisent plus à les compter. De redoutables attaques visant trois plugins WordPress très populaires sont en cours. Selon les experts du site Fastly, les plugins WP Statistics, WP Meta SEO et une nouvelle fois LiteSpeed Cache présentent des failles de sécurité graves permettant l’injection de code malveillant sur les sites web les utilisant.
Les vulnérabilités en question (CVE-2024-2194, CVE-2023-6961 et CVE-2023-40000) sont des failles XSS stockées non authentifiées. Elles autorisent l’exécution de scripts malveillants depuis des domaines externes contrôlés par les hackers. Ces scripts créent de nouveaux comptes admin, injectent des portes dérobées dans les sites et mettent en place un système de suivi des victimes. Autant dire qu’ils ne laissent aucune donnée leur échapper.
Après LiteSpeed en mars 2024 et LayerSlider en avril 2024, c’est au tour de trois autres plugins WordPress, qui comptent des millions d’installations actives, de présenter de nombreuses versions vulnérables non corrigées. La faille la plus critique concerne le plugin WP Statistics, avec 48 % de ses 600 000 installations exposées. WP Meta SEO totalise 27 % de ses 20 000 installations vulnérables, tandis que LiteSpeed Cache compte 15,7 % de ses 5 millions d’installations non sécurisées.
Le code malveillant injecté fait de graves dégâts. Il compromet totalement les sites web en créant un compte admin pirate, en ajoutant des portes dérobées dans les plugins et thèmes WordPress, et en implémentant un système de suivi des sites infectés. Mais les plugins ne sont pas les seuls éléments du célèbre CMS à être sensibles aux vulnérabilités. En février 2024, une faille dans le thème Bricks exposait 25 000 sites à l’injection de code malveillant, transformant les hackers en administrateurs de ces sites.
Les chercheurs de Fastly recommandent bien sûr la prudence aux admins qui utilisent ces thèmes, leur conseillant de les mettre à jour vers les dernières versions corrigées. Ils doivent ensuite supprimer les dossiers des anciennes versions vulnérables et effectuer un audit complet.
Ils invitent également les propriétaires de ces sites à effectuer une vérification de la présence d’un utilisateur suspect « admim@mystiqueapi.com », la recherche du code malveillant injecté (scripts externes, portes dérobées PHP) et la surveillance des requêtes sortantes suspectes (vers ur.mystiqueapi.com notamment).
Si, hélas, il est trop tard et que le site est infecté, il est recommandé d’effectuer une réinstallation complète. Les experts avertissent que ces attaques d’envergure proviennent majoritairement des Pays-Bas, au travers d’un réseau d’adresses IP liées au fournisseur IP Volume Inc.
Ces failles ne font pour autant pas vaciller le géant des CMS. WordPress, qui a soufflé en mai 2023 ses 20 bougies et reste l’éditeur de contenu le plus plébiscité autour du monde. Au printemps 2024, WordPress alimente 43,2 % des sites web mondiaux. Ses pages reçoivent plus de 20 milliards de vues par mois de la part de plus de 409 millions de personnes. À raison de 27 nouvelles publications par seconde, soit 70 millions par mois, générant 77 millions de commentaires, la popularité du CMS ne se dément pas.
Source : Bitdefender, Fastly