1,3 Million de sites WordPress vulnérables à cause du plugin analytics WP-SlimStat

Une faille de sécurité très critique vient d’être découverte dans l’un des plus populaires plugins qui risque de faciliter le piratage de plus 1,3 million de sites.

Cette vulnérabilité se trouverait actuellement dans toutes les versions du dénommé Wettable Powder Slimstat (ou tout simplement WP Slimstat).

1,3 Millions de sites WordPress vulnérables à cause du plugin analytics WP-SlimStat

Il s’agit d’un plugin Analytics qui fournit des statistiques de trafic et des performances des serveurs en temps réel.

Selon le site Sucuri, toutes les versions de WP-Slimstat avant la dernière version 3.9.6 contiennent une clé “secrète” facile à trouver (chiffrement du timestamp avec un algorithme MD5 au moment de l’installation) qui est utilisée pour protéger toutes les données envoyées vers et depuis les ordinateurs des utilisateurs finaux.

Or, depuis des sites tels que Archive.org, il est possible pour un pirate de retrouver la date à laquelle le plugin a été installé.

Une fois cette clé secrète trouvée, le pirate pourra alors injecter du code SQL pour exploiter la faille de sécurité afin de récupérer des informations sensibles depuis la base de données.

Y compris les mots de passe même cryptés et les autres clés de chiffrement utilisées à distance pour administrer le site WordPress.

Si vous utilisez WP-Slimstat, il est temps de le mettre à jour.

Auteur : Noel NGUESSAN

Je suis Noel Nguessan, fondateur du site Arobasenet.com qui existe depuis 2007 et a aujourd'hui plus de 6.800 articles. Pour ma part, j'ai intégré le monde de l'internet en 1997 en qualité de créateur de site internet, avant de devenir développeur web et multimédia au début de l'année 2000, avant de basculer naturellement vers le SEO.