Posté le mai 31, 2023 à 6:55
WORDPRESS INSTALLE DE FORCE UN CORRECTIF DE SÉCURITÉ POUR RÉSOUDRE UNE FAILLE CRITIQUE DANS LE PLUG-IN JETPACK
Le propriétaire de WordPress, Automat, a commencé à installer de force une mise à jour de sécurité sur des millions de sites web. La mise à jour de sécurité est installée avec l’aide de l’équipe de sécurité de WordPress. Le correctif permettra de remédier à une vulnérabilité critique observée dans le plug-in Jetpack.
WordPress force l’installation d’un correctif de sécurité
Jetpack est l’un des plugins les plus populaires disponibles sur le marché. Ce plug-in permet d’accéder gratuitement à la sécurité et aux performances et améliore également la gestion d’un site web. Certains des changements qui sont mis en œuvre avec ce plug-in comprennent les sauvegardes de site, la protection contre les attaques par force brute, les données de connexion sécurisées, la capacité à analyser les logiciels malveillants aux côtés d’un large éventail d’autres fonctionnalités.
Le dépôt officiel de plug-ins WordPress a aussi indiqué que le plug-in qui était maintenu par Automattic avait plus de cinq millions d’installations actives. L’ingénieur chargé des relations avec les développeurs, Jeremy Herve, a commenté la situation en indiquant qu’un audit de sécurité interne avait détecté une vulnérabilité dans l’API disponible dans Jetpack depuis la sortie de la version 2.0 en 2012.
« Lors d’un audit de sécurité interne, nous avons trouvé une vulnérabilité avec l’API disponible dans Jetpack depuis la version 2.0, publiée en 2012. Cette vulnérabilité pourrait être utilisée par les auteurs d’un site pour manipuler n’importe quel fichier de l’installation WordPress. Nous n’avons aucune preuve que cette vulnérabilité ait été exploitée dans la nature. Cependant, maintenant que la mise à jour a été publiée, il est possible que quelqu’un essaie de tirer parti de cette vulnérabilité », a déclaré M. Herve
M. Herve a en outre présenté ses excuses pour la charge de travail supplémentaire que la mise à jour a pu occasionner pour les propriétaires et les utilisateurs de sites web. L’entreprise a également exprimé son engagement à mener régulièrement des audits sur tous les aspects de la base de code pour s’assurer que le site Jetpack reste sûr et que toutes les vulnérabilités susceptibles d’être exploitées par des acteurs malveillants sont éliminées.
Les sites WordPress installent automatiquement le correctif de sécurité Jetpack
Le correctif de sécurité qui est automatiquement installé sur tous les sites web WordPress a été baptisé Jetpack 12.1.1. WordPress a déjà commencé à installer le plug-in, et il est actuellement disponible sur plus de 4 130 000 sites web qui utilisent toutes les versions de Jetpack qui ont existé depuis la version 2.0.
Ainsi, les sites web les plus vulnérables ont déjà fait l’objet d’une mise à jour automatisée et utilisent désormais la dernière version sécurisée et exempte d’exploits. Les autres sites web, considérés comme moins vulnérables, recevront également un correctif de sécurité prochainement
M. Herve a également mis en garde les administrateurs de sites web contre la menace croissante que représente la vulnérabilité en matière de sécurité. Le dirigeant a fait remarquer qu’il n’y avait aucun signe que la vulnérabilité avait été exploitée pour déclencher des attaques. Les administrateurs de sites web devraient aussi s’assurer que les sites qu’ils utilisent sont sécurisés, car il est probable que des attaquants s’emparent des informations relatives à la vulnérabilité et créent par la suite des exploits.
Les sites web WordPress les plus vulnérables au piratage sont ceux qui n’ont pas installé les correctifs de sécurité nécessaires. M. Herve a fait remarquer qu’avec la publication de la mise à jour, il est possible que quelqu’un tente d’exploiter la faille pour compromettre les sites qui tardent à installer le correctif.
M. Herve a ajouté qu’il n’y avait aucune preuve que la faille avait déjà été exploitée dans la nature. Il a toutefois exhorté les utilisateurs à mettre à jour leur version de Jetpack dès que possible afin de garantir que leurs sites web resteront sécurisés et protégés contre les exploits de sécurité.
M. Herve a par ailleurs indiqué que l’entreprise avait fait appel aux services de l’équipe de sécurité de WordPress.org pour publier un correctif pour toutes les versions du plug-in Jetpack depuis la version 2.0. La majorité des sites web ont déjà été mis à jour vers une version plus sûre, tandis que les autres seront bientôt mis à jour automatiquement afin d’éviter toute attaque.
Toutefois, ce n’est pas la première fois que WordPress prend les choses en main et déploie automatiquement des mises à jour de sécurité pour protéger ses utilisateurs. Ces mises à jour automatiques sont généralement effectuées pour corriger des failles critiques dans les plug-ins ou les installations de WordPress.
Un phénomène similaire a été observé en 2020, où des mises à jour automatiques ont également été installées sur les sites vulnérables. Samuel Wood, développeur de WordPress, avait alors publié une déclaration indiquant que l’organisation installerait des mises à jour de sécurité automatiques afin de prendre en charge les versions de sécurité des plug-ins autant de fois que possible.
Ces mises à jour de sécurité ont été installées depuis que WordPress 3.7 a été mis sur le marché, et elles ont joué un rôle essentiel dans la protection des sites WordPress contre les exploits de sécurité qui auraient pu causer des dommages importants.
