La vulnérabilité a maintenant été corrigée, mais elle a permis aux cybercriminels d’accéder aux mots de passe, aux informations d’identité et à d’autres données sensibles.

Vérifiez également :

Comme l’ont rapporté les chercheurs en sécurité de WordFence, leur chercheur Mark Monpass a découvert une faille dans UpdraftPlus. Il s’agit d’un plugin de sauvegarde, de restauration et de clonage pour WordPress.

UpdraftPlus a une fonctionnalité qui vous permet d’envoyer par e-mail un lien de téléchargement de sauvegarde à l’adresse fournie par le propriétaire du site. Cependant, cette fonctionnalité n’était pas bien implémentée et, selon le chercheur, elle permettait à presque tout le monde, même les utilisateurs de niveau abonné, de créer un lien valide pour télécharger des fichiers de sauvegarde.

Si quelqu’un utilise UpdraftPlus, il doit installer la mise à jour immédiatement. La version corrigée est la 1.22.3.

Il convient de noter que pour exploiter la vulnérabilité, l’attaquant devait avoir un compte actif dans le service. Cependant, les conséquences potentielles étaient « extrêmement graves », les chercheurs ont donc souligné la nécessité d’une mise à jour.

Les plugins WordPress offrent d’excellentes fonctionnalités, mais malheureusement, ils contiennent souvent des bogues fatals. Ceux-ci peuvent permettre aux attaquants de détourner l’intégralité de votre site.

Une autre vulnérabilité a été découverte récemment, cette fois dans le plugin « WordPress Email Template Designer – WP HTML Mail ». Il permet l’entrée de code JavaScript malveillant qui est exécuté chaque fois qu’un webmaster accède à l’éditeur de modèles d’e-mails.

Donc, si nous développons des sites Web sur WordPress, assurez-vous qu’ils sont mis à jour et conservés en toute sécurité.