Skip to main content

Une nouvelle vulnérabilité sous WordPress expose plus d'un million de sites web à des vols de données

Edition d'un site WordPress
(Crédit photo: Pixabay)

Un plugin WordPress, activement utilisé par les webmasters, dissimulerait une faille de sécurité récemment découverte. Cette dernière permettrait à tout cybercriminel d’accéder aisément à la console d’administration d’un site touché.

La vulnérabilité serait présente dans le plugin WordPress WPS Hide Login. Elle a été révélée par l’un de ses utilisateurs - répondant au pseudonyme thalakus - sur le forum d’entraide de WordPress.org. 

Ironiquement, cette vulnérabilité va à l'encontre de l'objectif du plugin qui est censé cacher ladite console et rendre le répertoire wp-admin inaccessible aux non-administrateurs. 

Comme plus d'un million de sites WordPress utilisent activement WPS Hide Login pour ajouter une couche de sécurité plus profonde, les administrateurs concernés devraient mettre à jour la dernière version dès aujourd’hui, pour empêcher les hackers d'exploiter cette vulnérabilité.

Comment masquer la console d’administration de votre site WordPress ?

Si WPS Hide Login parvient - en règle générale - à protéger les identifiants administrateur d’un site WordPress, et la console associée, il existe d’autres méthodes tout aussi efficaces et qui ne nécessitent aucune installation de plugins tierces.

Les pirates informatiques et les robots qui tentent d'attaquer la page de connexion d'un site WordPress recherchent souvent une faille dans son emplacement par défaut. Il convient donc d’installer le logiciel WordPress dans un dossier de répertoire avec un nom aléatoire.  Ainsi, au lieu d'héberger la page de connexion sur le basique /wp-login.php, vous pouvez l'inclure dans un dossier de répertoire avec un nom plus complexe à localiser. Par exemple : /random-file-name/wp-login.php.

Pour autant, le plugin WPS Hide Login WordPress reste utile pour les sites qui ont déjà WordPress installé dans le répertoire racine.

Le créateur du plugin, Nicolas Kulka, a désormais corrigé le problème et les utilisateurs de WPS Hide Login peuvent installer la version 1.9.1 (opens in new tab) pour sécuriser leurs sites contre toute attaque potentielle exploitant cette vulnérabilité.

Via Search Engine Journal (opens in new tab)

After working with the TechRadar Pro team for the last several years, Anthony is now the security and networking editor at Tom’s Guide where he covers everything from data breaches and ransomware gangs to the best way to cover your whole home or business with Wi-Fi. When not writing, you can find him tinkering with PCs and game consoles, managing cables and upgrading his smart home.