Le Privacy Shield, l'accord sur le transfert de données entre l'Europe et les États-Unis, est revendiqué par 200 entités commerciales, dont Microsoft.

L'Image du jour

Le Privacy Shield, l'accord sur le transfert de données entre l'Europe et les États-Unis, est revendiqué par 200 entités commerciales, dont Microsoft.

Silicon Valley 2016 : Cap sur l'innovation technologique (2e partie)

Dernier Dossier

Silicon Valley 2016 : Cap sur l'innovation technologique (2e partie)

En juin dernier, nous avons passé un peu de temps à San Francisco et dans la Silicon Valley avec une dizaine de journalistes européens pour les derniè...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

Plus d'un million de sites Wordpress vulnérables à cause d'un plug-in SEO

Le plug-in SEO Yoast est l'un des plus populaires pour Wordpress. (crédit : D.R.)

Le plug-in SEO Yoast est l'un des plus populaires pour Wordpress. (crédit : D.R.)

En raison d'une faille dans le plug-in de référencement Yoast, plus d'un million de sites Wordpress sont exposés à des attaques par injection SQL. Une mise à jour a été proposée pour pallier la situation.

La sécurité des sites Wordpress vient encore d'être mise à rude épreuve. Après la découverte du malware SoakSoak en décembre dernier qui a infecté 100 000 sites Wordpress, une autre vulnérabilité a été découverte risquant de mettre en péril un nombre bien plus important de sites. Ainsi, plus d'un million de sites Wordpress utilisant le plug-in Yoast permettant d'optimiser le référencement dans les résultats des moteurs de recherches sont exposées à des attaques par injection SQL.

Le plug-in SEO, développé par la société allemande Yoast, contient une vulnérabilité qui permet à des attaquants de manipuler la base de données d'un site et d'ajouter de faux comptes administrateurs. Cette vulnérabilité de type injection SQL a été découverte par le chercheur en sécurité Ryan Dewhurst, co-développeur du scanner de vulnérabilité WPScan. « Comme il n'y a pas de protection anti Cross Site Request Forgery [un type d'attaque qui force un utilisateur à exécuter des actions non voulues, NDLR], un attaquant distant non authentifié pourrait utiliser cette vulnérabilité pour exécuter des requêtes SQL arbitraires sur le site Wordpress de la victime en incitant un utilisateur administrateur, éditeur ou auteur à cliquer sur un lien pointant vers une page web qu'il contrôle », a indiqué Ryan Dewhurst. « Un scénario possible d'attaque serait qu'un attaquant ajoute son propre compte administrateur sur le site Wordpress cible pour compromettre l'ensemble du site ».

Cette faille affecte les versions 1.7.3.3 et plus anciennes du plug-in de Yoast pour Wordpress. L'éditeur a réagi et publié une nouvelle version, 1.7.4, corrigeant le problème. La version commerciale de ce plug-in a également été mise à jour. La version gratuite de ce plug-in a été téléchargée plus de 14,2 millions de fois. Selon des statistiques Wordpress officielles, Yoast a été installé plus d'un million de fois, ce qui en fait l'un des plus populaires plug-ins Wordpress.

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité