Si WordPress est le CMS le plus populaire et le plus utilisé au monde, il semble aussi être l’un des moins sécurités comme en témoigne une nouvelle menace liée à un plugin.
Les nouvelles se suivent et se ressemblent pour WordPress qui a conquis de nombreux administrateurs de sites par sa simplicité et sa polyvalence. Hélas, le CMS défraie régulièrement la chronique pour ses faiblesses de sécurité avérées. Ainsi, en 2014 déjà, plus de 100 000 sites gérés via WordPress avaient été sous la menace d’un malware baptisé SoakSoak. Plus près de nous, en février 2019, il avait été question de la résolution – via la mise à jour 5.0.3 – d’une faille de sécurité vieille de six ans et personne n’a été surpris de voir les équipes de GoDaddy / Sucuri annoncer en mars dernier que WordPress était le plus vulnérable des CMS.
Une triste réputation que ne devrait pas arranger la découverte d’un nouveau problème, cette fois lié à un plugin. En effet, au travers d’un rapport publié par la société de sécurité WebARX, nous apprenons que les anciennes versions de ThemeGrill Demo Importer peuvent être la cible d’attaques à distance. L’objectif initial de ce plugin est d’autoriser l’importation du contenu de démonstration dans les thèmes ThemeGrill afin, ensuite, de disposer d’exemples et de modèles pour bâtir leurs propres sites. Dans les faits, toutes les versions du plugin ThemeGrill Demo Importer entre les 1.3.4 et 1.6.1 sont concernées par cette faille de sécurité majeure.
Faille de sécurité qui permet aux personnes malintentionnées d’effacer tout bonnement l’intégralité d’un site WordPress à la double condition que celui-ci dispose évidemment du plugin et d’un thème ThemeGrill actif. À la mi-février, selon WebARX, la faille concernait plus de 200 000 sites à travers le monde. Des administrateurs heureusement assez réactifs puisque la menace ne concernait plus qu’environ 100 000 sites une semaine plus tard. Il est en effet relativement aisé de se protéger de cette faille, une version – la 1.6.2 – plus récente du plugin ThemeGrill Demo Importer a effectivement été publié il y a quelques jours afin de colmater la brèche. Reste que la réputation de WordPress n’en sort pas grandie.
