Comme j’ai pu l’évoquer à de nombreuses reprises, WordPress est un outil formidable pour pouvoir gérer vos contenus et promouvoir votre activité sur le Web. Si vous choisissez comme moi la solution open source tirée de WordPress.org, vous serez très vite confronté(e) au problème des failles de sécurité. Ce 12 mars dernier par exemple, le plugin SEO by Yoast a provoqué la « banale vulnérabilité » de près de 1 millions de sites développés sous WordPress et donc exposé ces mêmes sites Internet à des injections SQL. Le gros problème soulevé par Ryan Dewhurst, co-développeur du scanner de vulnérabilité WPScan, repose cette fois encore sur la capacité à pouvoir accéder à votre compte sans que vous n’y consentiez, WordPress fonctionnant avec une base de données et des connexions par login et mot de passe :
Comme il n’y a pas de protection anti- CSRF un attaquant distant non authentifié pourrait utiliser cette vulnérabilité pour exécuter des requêtes SQL arbitraires sur le site web WordPress de la victime en incitant un administrateur , éditeur ou l’auteur authentifié à cliquer sur un lien spécialement conçu ou visiter une page qu’ils contrôlent.
Un scénario possible d’attaque serait un attaquant ajoutant son propre compte administrateur sur le site WordPress cible, lui permettant de compromettre l’ensemble du site web .
Un problème de sécurité récurrent sur de nombreux plugins
Dans un article consacré à la faille CSRF (Cross-Site Request Forgery), Julio Potier nous expose toutes les conséquences et les risques liés à cela et nous précise entre autre (l’article est riche d’enseignements comme toujours) que près de 40% des plugins sont vulnérables sur ce point. Pour en ajouter, une autre faille de sécurité a été détectée sur Woocommerce à la même date. Là encore, il s’agit d’une vulnérabilité par injonction SQL. Une mise à jour dans les deux cas a permis selon les auteurs de régler le problème. Ce qui démontre de la réactivité de ceux-ci à solutionner les problèmes liés à leurs outils mais qui peut toutefois inquiéter les usagers.
La solution aux failles : vérifier la vulnérabilité de votre site WordPress et faire des mises à jour.
Après le déploiement de votre site WordPress, il convient toujours de mettre en place des procédures de sécurité et, on ne le répète pas assez, faire des mises à jour régulières afin d’éviter les déconvenues liées à l’oubli… Car en effet, le plus souvent, et c’est LA BONNE NOUVELLE, les failles sont découvertes avant que les hackers ne se chargent de les mettre en œuvre à grande échelle. Ne risquez donc pas de vous retrouver avec des versions anciennes découvertes par la suite vulnérables. Le cas du plugin SEO by Yoast en est un exemple frappant. Seule la dernière version 1.7.4 de ce mois de mars 2015, alors que l’outil a été téléchargé plus de 16 millions de fois, répond au problème des attaques par injonction SQL. Prévenir par la mise à jour de la dernière version de WP est aussi à faire!
Le hacking des sites WordPress est un sport pour les hackers dans la mesure où c’est l’outil qui remporte l’un des plus beaux succès du Web. Donc WordPress présente-t-il de nombreux problèmes de sécurité ? Oui et non, tout dépend de la manière dont vous l’avez déployé et de la manière dont vous exploitez ce fabuleux outils.