Les cookies de WordPress faciliteraient le piratage des comptes

Sécurité WordPress


Et ce, pour la simple raison que votre compte en 2 étapes.

En effet, selon Yan Zhu, lorsque les utilisateurs de se connectent à leurs comptes, les serveurs de WordPress.com créé un cookie avec comme nom \ »wordpress_logged-in\ » dans le navigateur des utilisateurs. Ce cookie d\’Authentification est donc envoyé en clair via HTTP, donc de façon non sécurisée.

Pour arriver à ce constat, Yan Zhu s\’est d\’abord connectée à son espace d\’administration avant de se déconnecter. Ensuite, elle a copié sur son disque dur le cookie \ »wordpress_logged-in\ » avant de le placer dans un autre navigateur sur autre ordinateur et à visité le site http://wordpress.com. Elle s\’est retrouvée automatiquement connectée à son compte WordPress.

Or, en général, lorsque vous vous déconnectez d\’un compte quelconque, le cookie d\’authentification expire et ne devrait donc pas logiquement servir à une nouvelle connexion automatique. Donc, il n\’y aurait aucune expiration des sessions d\’authentification sur WordPress.

Image : Yan Zhu

WordPress présenterait alors, selon notre Chercheuse, une vulnérabilité au niveau des cookies d\’authentification. Surtout pour ceux qui se connectent en Wifi lors d\’un déplacement, lors d\’une conférence, lors d\’un salon, etc… Les cookies WordPress, selon Yan Zhu, donneraient 3 années de validité pour se connecter directement.

Il faut rappeler que .org déclare pour sa part qu\’il ne fait que fournir un logiciel de publication que tout un chacun peut utiliser et qu\’il n\’a aucun contrôle sur qui l\’utilise, ni comment il l\’utilise.

Il s\’agirait donc ici des sites et blogs hébergés sur WordPress.com et gérés par Automattic, même avec un propre.

La bonne nouvelle que fait savoir Yan Zhu, c\’est que si vous hébergez vous-même votre site WordPress avec un accès sécurisé (HTTPS) pour votre espace Admin, votre blog ne serait en principe pas vulnérable à la réutilisation de vos cookies d\’authentification.

Auteur : Noel NGUESSAN

Je suis Noel Nguessan, fondateur du site Arobasenet.com qui existe depuis 2007 et a aujourd'hui plus de 6.800 articles. Pour ma part, j'ai intégré le monde de l'internet en 1997 en qualité de créateur de site internet, avant de devenir développeur web et multimédia au début de l'année 2000, avant de basculer naturellement vers le SEO.