Alertes et incidents

Faille de sécurité sur une extension WordPress – Actions et conseils

wordpress_1_click-simple-hosting-gandi

Une vulnérabilité sur un plugin WordPress édité par ThemeGrill a été révélée récemment et est activement exploitée ces derniers jours. Ce plugin est largement répandu au sein de la communauté d’utilisateurs WordPress.

Plugin impacté : ‘ThemeGrill Demo Importer’

La faille de sécurité se trouve dans l’extension ThemeGrill Demo Importer, un plugin fourni avec certains thèmes vendus par ThemeGrill, une société éditrice de thèmes commerciaux pour WordPress.
Cette vulnérabilité peut permettre à l’attaquant (au hacker) de prendre contrôle du site en effaçant l’intégralité des données.

Ainsi, il nous paraît nécessaire de vous rappeler la marche à suivre pour vous protéger, ainsi que certaines bonnes pratiques et précautions plus générales liées à la sécurité de votre site WordPress.

Réagir maintenant 

  • Vérifiez si vous disposez de l’extension ThemeGrill Demo Importer

Pour cela, rendez vous dans la section « Extension » de votre interface d’administration de WordPress.

  • Si non, vous n’êtes pas concerné(e).
  • Si oui, mettez à jour immédiatement cette extension dans la dernière version disponible.

La version 1.6.2 corrige le problème. Les mises à jours sont directement visibles dans la section « Extension » de l’interface d’administration de WordPress. Une fois le plugin en version 1.6.2 installé, votre site WordPress n’est plus menacé par cette faille. 

Cependant, WordPress étant de très loin le CMS le plus utilisé dans le monde, et son catalogue d’extensions étant très vaste, l’apparition de ce type de vulnérabilité est courante. Ainsi, certaines bonnes pratiques sont importantes pour réduire les risques.

Bonnes pratiques pour éviter une faille de sécurité 

1/ Faire attention aux extensions WordPress que vous utilisez

L’une des forces de WordPress est son catalogue de modules additionnels quasi illimité, mais ces extensions ne sont pas sans risques.

  • Pour les extensions que vous utilisez, assurez-vous d’utiliser leur dernière version, et vérifiez qu’aucune faille récente n’a été décelée, en vous renseignant sur le site de l’éditeur ou sur un site spécialisé.
  • Privilégiez les extensions qui sont mises à jour régulièrement.
  • Ne surchargez pas votre WordPress d’extensions dont vous n’avez pas réellement besoin. Cela n’est bon ni pour la sécurité ni pour les performances de votre site, et donc pour votre référencement. Supprimez les extensions que vous n’utilisez pas.

2/ Activer les snapshots sur votre Hébergement Simple Hosting

Les snapshots permettent de conserver un état précédent des fichiers de votre hébergement. Cela peut vous permettre notamment de revenir en arrière en cas de mauvaise manipulation sur la configuration de votre site.

Cette option est gratuite sur Simple Hosting, il faut simplement l’activer depuis l’interface d’administration Gandi.

Retrouvez plus d’information sur les snapshots ici.

Pour rappel, les snapshots sont stockés au même endroit que votre site. Ils ne remplacent pas une vraie sauvegarde distante et stratégie associée.

3/ Faire des sauvegardes régulières de l’intégralité de votre hébergement web WordPress

Il est important, quelle que soit votre solution d’hébergement, de disposer d’une sauvegarde complète de vos données sur un support distant. Ainsi pour un site web, il est judicieux de disposer d’une copie du site en local sur votre poste de travail par exemple. Pour cela, il vous faut sauvegarder deux éléments :    

  • La base de données :

Pour WordPress, il s’agit d’une base MySQL. Il s’agit alors de faire un export complet de votre base.

Vous pouvez le faire à partir de l’interface PhpMyAdmin qui gère la base de données MySQL de votre Simple Hosting. PhpMyAdmin est accessible depuis l’onglet « Administration » de votre instance Simple Hosting. L’export génère un fichier nommé par défaut ‘localhost.sql’ que vous pouvez enregistrer sur votre poste.

Vous pouvez également automatiser cet export de vos bases de données de façon quotidienne.

Plus d’information sur l’export automatique de vos bases de données mySQL.

  • Les fichiers de votre site :

Pensez à copier régulièrement l’ensemble des données de votre site, en vous y connectant en sFTP, par exemple avec FileZilla.

Plus d’information sur la connexion à votre Simple Hosting en sFTP

4/ Suivre les canaux de diffusion officiels sur la sécurité des outils que vous utilisez

La plupart des principaux éditeurs logiciels disposent de moyens d’information dédiés pour les problématiques de sécurité, afin d’être réactifs dans la diffusion de ces informations. Si vous utilisez intensément certains outils pour vos sites ou ceux de vos clients, il est important d’être rapidement averti(e) de potentiels problèmes.

Pour WordPress : https://wordpress.org/news/category/security/

N’hésitez pas également à nous suivre sur Twitter ou Facebook pour être tenu(e) informé(e) quant à ce type d’incidents.


Liens utiles : 

[FR] https://cyberguerre.numerama.com/3169-une-faille-dans-cette-extension-wordpress-permet-de-raser-integralement-des-centaines-de-milliers-de-sites.html

[EN] https://www.bleepingcomputer.com/news/security/unsafe-wordpress-plugin-installed-on-nearly-200-000-sites/https://fr.wordpress.org/plugins/themegrill-demo-importer/advanced/

Hébergement web Simple Hosting : https://www.gandi.net/fr/simple-hosting

Documentation technique : https://docs.gandi.net/fr/simple_hosting/