Attention aux sites que vous consultez actuellement ! Une faille de sécurité majeure a été récemment découverte dans les sites exploitant WordPress, le système de gestion de contenu renommé. On estime que près de 200 000 sites sont actuellement infectés par des logiciels malveillants.
Les vulnérabilités en matière de sécurité ne touchent pas uniquement les systèmes d’exploitation et les applications, mais également les logiciels utilisés pour créer des sites web. C’est le cas de WordPress, un CMS (système de gestion de contenu) largement utilisé par des sites amateurs et professionnels à travers le monde. Les experts en sécurité de Wordfence ont récemment identifié une faille significative dans MW WP Form, un plugin pour WordPress largement répandu, permettant aux pirates d’introduire des malwares dangereux. Cette extension populaire facilite la création et l’insertion de formulaires sur les pages web, un outil apprécié des gestionnaires de sites. Cependant, la situation est préoccupante, car MW WP Form est conçu pour collecter des données personnelles telles que les adresses électroniques et les noms des visiteurs.
Le problème réside dans le fait que MW WP Form, en plus de collecter des informations textuelles, a la capacité de récupérer des fichiers et de les enregistrer dans une base de données associée au site web. Bien que le plugin intègre un mécanisme de détection et de suppression des fichiers non autorisés, les chercheurs de Wordfence ont découvert qu’il enregistrait tout de même des fichiers dangereux lorsque l’option « Enregistrer les données de la demande dans la base de données” était activé dans les paramètres du formulaire. Les cybercriminels ont exploité cette faille en particulier des données infectées sur les sites et les serveurs, incluant des scripts PHP permettant l’activation de code à distance.
Selon les experts de Wordfence, qui ont attribué à cette faille une note critique de 9,8 sur 10, environ 200 000 sites web pourraient être touchés par ces malwares, exposant ainsi de nombreux internautes à des risques potentiels. Bien que Wordfence ait alerté l’éditeur de MW WP Form, qui a rapidement corrigé le problème dans la version 5.0.2 du plugin, il faudra probablement un certain temps avant que tous les propriétaires de sites WordPress mettent à jour leurs installations. En attendant, pour éviter tout risque, il est recommandé de vérifier attentivement si un site web utilise WordPress, cette information étant souvent indiquée en bas de la page d’accueil parmi d’autres détails.