Un thème WordPress sème la pagaille et expose 25 000 sites à une faille critique, exploitée par les pirates

Si vous utilisez le thème Bricks de WordPress, il va falloir rapidement passer à la dernière version © WordPress

Si vous utilisez le thème Bricks de WordPress, il va falloir rapidement passer à la dernière version © WordPress

Il y a quelques jours, une faille de sécurité critique s’est immiscée dans l’un des thèmes de WordPress. Plusieurs milliers de sites sont donc potentiellement exposés à cette vulnérabilité.

Si les alternatives se veulent de plus en plus nombreuses, WordPress demeure toujours parmi les meilleurs gestionnaires de contenus pour créer un site web. Jouissant d’une importante communauté, et proposant un large choix de plugins et de thèmes gratuits, WordPress est aujourd’hui une solution incontournable pour les personnes désirant se lancer dans la création de leur site internet, notamment en raison de sa simplicité d’utilisation.

Mais, depuis quelques jours, un thème est la cible d’une faille de sécurité activement exploitée par les pirates, susceptible d’affecter pas moins de 25 000 sites et dont la gravité a été évaluée à 9,8 sur 10 sur le Common Vulnerability Scoring System (CVSS).

WordPress : le thème Bricks présente une vulnérabilité importante

Le 10 février dernier, un expert en sécurité connu sous le nom de « Snicco » a signalé une faille affectant le thème Bricks de WordPress via la plateforme Patchstack. Cet outil, alimenté par « une communauté de hackers éthiques », aide à identifier les vulnérabilités au sein de l’écosystème WordPress (plugins, thèmes, sites web…).

Identifiée sous le nom CVE-2024-25600, cette vulnérabilité permet à des pirates d’exécuter du code PHP arbitraire à distance, comme cela nous est rapporté par The Hacker News. Par conséquent, ces derniers pourraient s’emparer d’un site sans disposer des informations d’identification de l’utilisateur. Notez au passage que toutes les versions du thème sont concernées jusqu’à la 1.9.6.

Meilleur hébergeur web, le comparatif en février 2024

Comment choisir le meilleur hébergeur web ? Clubic a testé et comparé les 10 principaux hébergeurs web au niveau des performances, des pratiques tarifaires, du niveau de fiabilité des infrastructures et de la qualité du service client, afin d’établir un comparatif fiable.

Lire la suite

Fort heureusement, les développeurs du thème ont été réactifs et ont rapidement publié la version 1.9.6.1 de Bricks, assurant ainsi aux utilisateurs un moyen de se protéger contre cette vulnérabilité.

Plus de 25 000 sites exposés à une faille critique

Depuis le 13 février, soit seulement quelques jours après le premier signalement, les utilisateurs du thème Bricks peuvent installer les derniers correctifs afin d’atténuer les menaces potentielles. Au 19 janvier, toujours selon les informations rapportées par The Hacker News, près de quarante tentatives d’attaque exploitant la faille avaient déjà été détectées.

Bricks totalisant environ 25 000 installations actives à l’heure où sont écrites ces lignes, les clients du thème ont tout intérêt à installer sans plus attendre la version 1.9.6.1. Plus vous retarderez son installation, plus vous vous exposerez au risque qu’un pirate puisse s’emparer de votre site web. Pour rappel, il vous suffit de vous rendre dans le tableau de bord de WordPress pour installer en un seul clic la mise à jour.

WordPress

Voir l’offre

Lire l’avis 8

WordPress

• Apprentissage rapide
• Des milliers de thèmes
• Presque 60 000 extensions

WordPress est la star incontestée du web. Son ergonomie, la richesse de ses templates (réactifs, gratuits ou payants), la myriade d’extensions, ses capacités en référencement séduisent. Revers de la médaille, il concentre l’essentiel des cyberattaques et devient rapidement lent. Les propriétaires de sites WordPress ont la fâcheuse tendance à accumuler les extensions inutiles, souvent sans les mettre à jour. Selon les besoins de l’entreprise ou du particulier, il convient donc de vérifier la pertinence de ce CMS.

WordPress est la star incontestée du web. Son ergonomie, la richesse de ses templates (réactifs, gratuits ou payants), la myriade d’extensions, ses capacités en référencement séduisent. Revers de la médaille, il concentre l’essentiel des cyberattaques et devient rapidement lent. Les propriétaires de sites WordPress ont la fâcheuse tendance à accumuler les extensions inutiles, souvent sans les mettre à jour. Selon les besoins de l’entreprise ou du particulier, il convient donc de vérifier la pertinence de ce CMS.

Source : The Hacker News