Discussion :

[Bill Fassinou]

Des chercheurs découvrent une faille dans le noyau de WordPress
qui pourrait être exploitée pour supprimer des fichiers système du CMS

Cela fait près de huit mois maintenant que, selon les dires des chercheurs, l’équipe WordPress a été informée d’une faille dans le système susceptible d’affecter le CMS qui, rappelons-le, est le système de gestion de contenu le plus populaire sur internet. Les chercheurs se sont servis de RIPS, outil d'analyse de code statique pour détecter automatiquement les vulnérabilités dans les applications PHP, pour détecter la faille. La vulnérabilité affecte le noyau du CMS WordPress, plus précisément les fonctions PHP. Ce qui en soit représente un très grand problème, car PHP est l’un des modules de programmation les plus populaires et les plus accessibles. En fait, la majeure partie des débutants dans la programmation commence par PHP.

La vulnérabilité permet à un utilisateur mal intentionné d’insérer du code malveillant dans un site WordPress et rend possibilité la suppression de n'importe quel fichier de l'installation de WordPress et tout autre fichier sur le serveur que seul l'utilisateur du processus PHP a les permissions nécessaires pour supprimer. Même les fichiers suivants peuvent être supprimés : .htaccess, index.php et wp-config.php. Cela ne devrait en principe pas être possible. Face à une situation aussi périlleuse, il est d’autant plus curieux que l’équipe de WordPress n'ait visiblement rien fait. Ce genre d’incident semble se répéter ces dernières années. Rappelons qu'au début de cette année, une faille dans WordPress permettait de mettre les sites hors service avec un simple poste de travail.

Aucune solution ne semble être apportée par l'équipe de WordPress contre cette vulnérabilité qui concerne toutes les versions du célèbre gestionnaire de contenu, même la version 4.9.6 qui est la version actuelle. Toutefois, il faut avoir un certain niveau d’accès pour pouvoir exploiter cette faille. Cela pourrait expliquer pourquoi les équipes de WordPress semblent ne pas tailler une grande importance à cette faille qu’ils jugent peut-être sans risque majeur. Cependant, les chercheurs expliquent que si un utilisateur quelconque arrivait à enregistrer même un compte utilisateur de bas niveau sur un site et à élever ses privilèges, il peut exploiter cette vulnérabilité pour compromettre un site WordPress.

Source : RIPSTECH

Et vous ?

Colmater cette brèche ne devrait-il pas être la priorité de l’équipe WordPress ?
Ce silence de l’équipe WordPress est-il une minimisation des risques d’attaques ou une incapacité de faire face au problème ?

Voir aussi

Une faille dans WordPress permet de mettre les sites hors service, un poste de travail client suffit à accomplir la besogne

Comparatif entre WordPress, Joomla et Drupal avec une infographie sur les systèmes de gestion de contenu

WordPress est désormais utilisé sur plus de 30 % des sites web, le champion des CMS creuse encore l'écart avec la concurrence

React : WordPress décide d'abandonner la bibliothèque JavaScript de Facebook suite à la polémique autour d'une clause de son octroi de licence

En tant que développeur, que détestez-vous le plus dans WordPress ? Partagez votre expérience

[HHesse]

Pour faire un site, soit on peut avoir recours à un website builder, soit un CMS open source, soit un cms propriétaire, soit une solution développée. C'est clair que faire un site sous Wordpress représente des risques. Si les utilisateurs peuvent augmenter leurs privilèges lors de la création d'un compte, cela craint pour les sites utilisant les extensions de vente telles que woocommerce. Quoiqu'il en soit, il faut peser le pour et le contre quand on choisi une solution en étant conscient que le CMS le plus utilisé est le plus exposé aux attaques et à ce que des failles soient découvertes. Pour le coup ils devraient trouver un patch, je trouve. Sinon, pour ceux qui veulent peser le pour et le contre de wordpress https://dkoop.be/un-site-wordpress/

[Aiekick]

moi j'en ai eu marre des cms usine a gaz. je me suis tourné vers le generateur de site statique qui s'appelle jekyll . on ecrit les pages en markdown. evidemment pour mon cas je n'ai pas besoin de base de donnée ni d'utilisateurs.

[WartraxX93]

la solution provisoire serait de mettre à l'abris le fichier wp-config.php au plus bas niveau de la racine de façon à ce qu'il ne soit pas accessible depuis le dossier d'installation wordpress

Exemple /var/www/wordpress/wp-config.php > /var/www/wp-config.php

Ensuite de réglé au plus juste le chmod des fichiers wp-config.php, index.php et .htaccess ou mieux encore pour le .htaccess, injecter la configuration dans la config du vhosts.

Cette faille va je pense faire beaucoup de mal, priez sur votre WAF (Cloudflare, Sucuri et Bitninja ...) en espérant que ça ne passera pas sous les radars.

[seikida]

La vulnérabilité permet à un utilisateur mal intentionné d’insérer du code malveillant dans un site WordPress

De quel vulnerabilite parle t-on car je suis un peu perdu pardon...
En gros comment ce code malveillant arrive sur le serveur ? Est depuis le panneau d'administration de Wordpress sans etre administrateur ?

Je suis un peu large...

[zozizozu]

Je suis un peu large...

@seikida, Tu as dû manger trop de php ...
Pour ce qui est de comment ça marche, c'est expliqué dans la source cité en fin d'article ( https://blog.ripstech.com/2018/wordp...ode-execution/ )
De ce que j'ai compris, il faut ( quand même ) un acces minimum type "contributeur" pour pouvoir upload une image ..., donc en gros, un administrateur mal intentionné ...

Ce silence de l’équipe WordPress est-il une minimisation des risques d’attaques ou une incapacité de faire face au problème ?

Là, je dirais qu'il faut arréter de les prendre pour des bouseux sous prétexte que c'est la mode, c' est Trolldi ou bien ?

[chrtophe]

Une solution maison ne sera pas forcément moins boguée, l'erreur est humaine.

Tous les sites wordpress que j'ai vu hacké venait de plugins de mauvaise qualité ou non mis à jour (notamment dans le cas de plugins payants).

[miss_socrates]

Je pense que si les développeurs de Wordpress n'ont pas réagi plus que cela, c'est qu'ils ont estimé que les risques étaient (assez) faibles.
De fait, s'il faut être utilisateur, c'est que les administrateurs du site n'ont pas pris la peine d'empêcher la fonction "Tout le monde peut s'inscrire sur le site".
D'autre part, il y a de plus gros risques, des propriétaires de sites ne faisant ni la mise à jour de Wordpress ni de leur thème ni des plugins. Ce qui me semble être des "failles" bien plus risquées...