Un plugin WordPress, activement utilisé par les webmasters, dissimulerait une faille de sécurité récemment découverte. Cette dernière permettrait à tout cybercriminel d’accéder aisément à la console d’administration d’un site touché.
La vulnérabilité serait présente dans le plugin WordPress WPS Hide Login. Elle a été révélée par l’un de ses utilisateurs - répondant au pseudonyme thalakus - sur le forum d’entraide de WordPress.org.
Ironiquement, cette vulnérabilité va à l'encontre de l'objectif du plugin qui est censé cacher ladite console et rendre le répertoire wp-admin inaccessible aux non-administrateurs.
Comme plus d'un million de sites WordPress utilisent activement WPS Hide Login pour ajouter une couche de sécurité plus profonde, les administrateurs concernés devraient mettre à jour la dernière version dès aujourd’hui, pour empêcher les hackers d'exploiter cette vulnérabilité.
- Quels sont les meilleurs plugins WordPress disponibles aujourd'hui ?
- Pour aller plus loin : optez pour les meilleurs hébergeurs web | meilleurs fournisseurs de messagerie professionnelle
Comment masquer la console d’administration de votre site WordPress ?
Si WPS Hide Login parvient - en règle générale - à protéger les identifiants administrateur d’un site WordPress, et la console associée, il existe d’autres méthodes tout aussi efficaces et qui ne nécessitent aucune installation de plugins tierces.
Les pirates informatiques et les robots qui tentent d'attaquer la page de connexion d'un site WordPress recherchent souvent une faille dans son emplacement par défaut. Il convient donc d’installer le logiciel WordPress dans un dossier de répertoire avec un nom aléatoire. Ainsi, au lieu d'héberger la page de connexion sur le basique /wp-login.php, vous pouvez l'inclure dans un dossier de répertoire avec un nom plus complexe à localiser. Par exemple : /random-file-name/wp-login.php.
Pour autant, le plugin WPS Hide Login WordPress reste utile pour les sites qui ont déjà WordPress installé dans le répertoire racine.
Le créateur du plugin, Nicolas Kulka, a désormais corrigé le problème et les utilisateurs de WPS Hide Login peuvent installer la version 1.9.1 pour sécuriser leurs sites contre toute attaque potentielle exploitant cette vulnérabilité.
