WordPress : 2 vulnérabilités critiques corrigées en 6.4.3
Dans son bulletin du 30 Janvier 2024, l'équipe de développement de WordPress annonce la mise à disposition d'une version de maintenance à installer au plus vite. Outre la correction de 21 bugs dans le logiciel de gestion de contenu le plus utilisé au monde, cette mise à jour corrige 2 failles des sécurités importantes, pouvant être exploitées pour mener des attaques.
WORDPRESS : 42% des sites web français
En étant le CMS (logiciel de création de site web) le plus utilisé, WordPress est aussi celui le plus attaqué. La plateforme phare conçue initialement pour la création de blogs, s'est largement diversifiée, au point d'équiper presque la moitié des sites web. Elle n'est plus réservée à la création de blog : grâce à son très large catalogue d'extensions, WordPress devient une véritable plateforme e-commerce pour la vente en ligne, un forum d'entraide, un site web en plusieurs langues, etc... Les extensions et les thèmes sont à la fois le point fort et la faiblesse de WordPress : ce sont eux qui concentrent le plus de failles permettant aux hackers et autres pirates informatiques d'attaquer les sites web. Mais le noyau de WordPress n'est pas exempt de faille. C'est le cas de celles révélées dans l'avis CERTFR-2024-AVI-0084 du CERT-FR, ce 31 janvier 2024.
2 failles de sécurité corrigées
Dans son avis, le CERT-FR indique que les failles patchées permettent une "Exécution de code arbitraire à distance" ainsi qu'un "Contournement de la politique de sécurité". Sont concernées toutes les versions antérieures à la 6.4.3.
Dans sa communication, l'équipe de WordPress donne peu d'éléments, mais indique toute de même qu'une des failles permet l'upload de fichier via l'installateur de plugin en contournant la gestion des droits. L'autre faille indique la possibilité d'exploiter une vulnérabilité RCE dans le traitement des chaines POP.
Les version 4.1.x à 6.4.x disposent depuis hier de cette mise à jour de sécurité pour WordPress. Les autres version ne seront pas corrigées.
Que faire si je ne peux pas passer la mise à jour ?
La bonne pratique est de toujours passer les mises à jour de sécurité. Mais parfois, la présence d'un développement spécifique complexe, ou d'un thème non compatible, peuvent empêcher les montées de versions. Si vous êtes dans ce cas, vous devriez sérieusement songer à investir pour permettre la mise à jour de votre WordPress. Mais en attendant, il est possible de réduire considérablement le risque d'attaques.
L'usage d'un WAF (Web Application Firewall), tel que ProtectMy.site, permet de bloquer les attaques génériques et l'exploitation des CVE (les failles de sécurité déjà connues). Le WAF se place entre le pirate et votre site web pour filtrer les requêtes malveillantes et sécuriser votre site WordPress.