Les cookies de WordPress faciliteraient le piratage des comptes

Sécurité WordPress


Si vous avez un site ou un blog WordPress, vous devez faire très attention lorsque vous vous connectez à votre espace d\’administration en WiFi depuis un lieu public.

Et ce, pour la simple raison que votre compte WordPress pourrait être facilement piraté à votre insu. Même si vous utilisez l\’authentification en 2 étapes.

C\’est la révélation qu\’a récemment faite Yan Zhu, Chercheuse chez Electronic Frontier Foundation (EFF) qui a découvert que les blogs hébergés sur WordPress.com envoyaient les cookies d\’authentification sur l\’internet en mode plein texte au lieu du mode sécurisé (cryptage avec HTTPS).

En effet, selon Yan Zhu, lorsque les utilisateurs de WordPress se connectent à leurs comptes, les serveurs de WordPress.com créé un cookie avec comme nom \ »wordpress_logged-in\ » dans le navigateur des utilisateurs. Ce cookie d\’Authentification est donc envoyé en clair via HTTP, donc de façon non sécurisée.

Pour arriver à ce constat, Yan Zhu s\’est d\’abord connectée à son espace d\’administration avant de se déconnecter. Ensuite, elle a copié sur son disque dur le cookie \ »wordpress_logged-in\ » avant de le placer dans un autre navigateur sur autre ordinateur et à visité le site http://wordpress.com. Elle s\’est retrouvée automatiquement connectée à son compte WordPress.

Or, en général, lorsque vous vous déconnectez d\’un compte quelconque, le cookie d\’authentification expire et ne devrait donc pas logiquement servir à une nouvelle connexion automatique. Donc, il n\’y aurait aucune expiration des sessions d\’authentification sur WordPress.

Image : Yan Zhu

WordPress présenterait alors, selon notre Chercheuse, une vulnérabilité au niveau des cookies d\’authentification. Surtout pour ceux qui se connectent en Wifi lors d\’un déplacement, lors d\’une conférence, lors d\’un salon, etc… Les cookies WordPress, selon Yan Zhu, donneraient 3 années de validité pour se connecter directement.

Il faut rappeler que WordPress.org déclare pour sa part qu\’il ne fait que fournir un logiciel de publication que tout un chacun peut utiliser et qu\’il n\’a aucun contrôle sur qui l\’utilise, ni comment il l\’utilise.

Il s\’agirait donc ici des sites et blogs hébergés sur WordPress.com et gérés par Automattic, même avec un nom de domaine propre.

La bonne nouvelle que fait savoir Yan Zhu, c\’est que si vous hébergez vous-même votre site WordPress avec un accès sécurisé (HTTPS) pour votre espace Admin, votre blog ne serait en principe pas vulnérable à la réutilisation de vos cookies d\’authentification.