Skip to main content

Une nouvelle vulnérabilité sous WordPress expose plus d'un million de sites web à des vols de données

Edition d'un site WordPress
(Crédit photo: Pixabay)

Un plugin WordPress, activement utilisé par les webmasters, dissimulerait une faille de sécurité récemment découverte. Cette dernière permettrait à tout cybercriminel d’accéder aisément à la console d’administration d’un site touché.

La vulnérabilité serait présente dans le plugin WordPress WPS Hide Login. Elle a été révélée par l’un de ses utilisateurs - répondant au pseudonyme thalakus - sur le forum d’entraide de WordPress.org. 

Ironiquement, cette vulnérabilité va à l'encontre de l'objectif du plugin qui est censé cacher ladite console et rendre le répertoire wp-admin inaccessible aux non-administrateurs. 

Comme plus d'un million de sites WordPress utilisent activement WPS Hide Login pour ajouter une couche de sécurité plus profonde, les administrateurs concernés devraient mettre à jour la dernière version dès aujourd’hui, pour empêcher les hackers d'exploiter cette vulnérabilité.

Comment masquer la console d’administration de votre site WordPress ?

Si WPS Hide Login parvient - en règle générale - à protéger les identifiants administrateur d’un site WordPress, et la console associée, il existe d’autres méthodes tout aussi efficaces et qui ne nécessitent aucune installation de plugins tierces.

Les pirates informatiques et les robots qui tentent d'attaquer la page de connexion d'un site WordPress recherchent souvent une faille dans son emplacement par défaut. Il convient donc d’installer le logiciel WordPress dans un dossier de répertoire avec un nom aléatoire.  Ainsi, au lieu d'héberger la page de connexion sur le basique /wp-login.php, vous pouvez l'inclure dans un dossier de répertoire avec un nom plus complexe à localiser. Par exemple : /random-file-name/wp-login.php.

Pour autant, le plugin WPS Hide Login WordPress reste utile pour les sites qui ont déjà WordPress installé dans le répertoire racine.

Le créateur du plugin, Nicolas Kulka, a désormais corrigé le problème et les utilisateurs de WPS Hide Login peuvent installer la version 1.9.1 pour sécuriser leurs sites contre toute attaque potentielle exploitant cette vulnérabilité.

Via Search Engine Journal

Anthony Spadafora

After living and working in South Korea for seven years, Anthony now resides in Houston, Texas where he writes about a variety of technology topics for ITProPortal and TechRadar. He has been a tech enthusiast for as long as he can remember and has spent countless hours researching and tinkering with PCs, mobile phones and game consoles.