WordPress : des centaines de sites continuent d'employer des plugins intégrant des backdoors

Le par  |  4 commentaire(s)
Wordpress

Malgré les différentes mises en garde et failles annoncées récemment, de nombreux sites conservent encore d'anciens plugins sous Wordpress contenant des portes dérobées.

C'est à la fin de l'année 2016 que la société de sécurité White Fir Design annonçait avoir découvert la présence d'un code intrigant se présentant comme une porte dérobée intégrée à 14 plugins diffusés sur le CMS WordPress.

Après enquête il s'est avéré que le code en question avait déjà été repéré par un développeur de Hong Kong, qui tentait d'attirer l'attention à son sujet dès 2014. Le code en question peut permettre à des hackers d'insérer des liens de spam SEO afin de récupérer des informations.

Dès 2014, WordPress est intervenu pour supprimer les plugins concernés... Malheureusement, tous les webmasters n'ont pas supprimé ces plugins de leurs sites et continuent ainsi de s'exposer à des risques montrant par la même qu'il est toujours préférable de suivre une formation WordPress. Selon White Fir Design, certains plugins seraient encore présents sur plus de 500 installations, certains n'étant présent que sur moins de 10 installations.

Bitnami Wordpress

WordPress a fait le choix de ne pas se montrer intrusif et supprimer automatiquement ou désactiver les plugins en question, notamment afin de ne pas amputer les sites Web attenants de certaines fonctionnalités. La meilleure solution reste actuellement pour les développeurs de pousser une version propre de leurs plugins en mise à jour forcée.

Voici la liste des plugins concernés :

return-to-top
page-google-maps
gallery-slider
g-translate
share-button-wp
mailchimp-integration
smart-videos
seo-rotator-for-images
ads-widget
seo-keyword-page
wp-handy-lightbox
wp-popup
google-analytics-analyze
cookie-eu

WordPress reste actuellement un des CMS les plus utilisés à travers le monde. Pour éviter de mettre en danger ses propres infrastructures ainsi que les données de ses visiteurs, il convient toutefois de maîtriser quelques bases essentielles tant en développement qu'en sécurité. Pour ce faire, notez qu'il existe de nombreuses formations WordPress notamment celles diffusées par l'école de formation WpFormation qui est un centre de formation WordPress reconnu par les professionnels et qui est, c'est à noter, éligible au financement pour la formation professionnelle, idéal donc pour les salariés.  Ce dernier privilégie des sessions en petits groupes avec des formateurs qualifiés. En 3 jours seulement (plusieurs niveaux sont disponibles), mais intensifs, vous deviendrez très vite un véritable expert de ce CMS mondialement utilisé.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1996311
Même pas un lien vers la source ?
Qu'on aie au moins la liste...
Le #1996345
LinuxUser a écrit :

Même pas un lien vers la source ?
Qu'on aie au moins la liste...


Ben la liste, on l'a ...
Le #1996621
Les sites Wordpress aurait du être désactivés en partant.
Le #1996730
FRANCKYIV a écrit :

LinuxUser a écrit :

Même pas un lien vers la source ?
Qu'on aie au moins la liste...


Ben la liste, on l'a ...


Maintenant oui... tu trouves pas ça bizzare que 2 habitués passent et plussoient si il y avait déjà eu la dite liste ?

@GNT: Merci
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme