Alertes et incidents

WordPress force la mise à jour du plug-in Loginizer pour corriger une grave vulnérabilité

plug-ins pour sécuriser son site Wordpress

Une vulnérabilité dans le populaire plug-in Loginizer de WordPress a été découverte la semaine dernière [lien en anglais]. La faille de sécurité réside dans le mécanisme de protection par force brute de Loginizer, activé par défaut sur tous les sites où le plug-in est installé, permettant à toute personne malveillante d’effectuer une attaque par injection SQL.

En conséquence, WordPress a pris la rare mesure de forcer la mise à jour de Loginizer sur des millions de sites WordPress.

Qu’est-ce que Loginizer ?

Avec plus d’un million d’installations actives, Loginizer est l’un des plugins WordPress les plus populaires au monde.

Loginizer est un plugin de sécurité qui protège les sites WordPress contre les attaques par force brute en bloquant les IP qui tentent de forcer les sites Web pendant 15 minutes, après trois échecs de connexion et pendant 24 heures après de multiples blocages.

Ses fonctions gratuites permettent également de consigner les tentatives de connexion infructueuses, d’ajouter des adresses IP à une liste de blocage ou d’autorisation et de créer des messages d’erreur personnalisés en cas d’échec de la connexion. Les fonctions payantes comprennent l’ajout d’une connexion sans mot de passe, une authentification à deux facteurs et un CAPTCHA.

La vulnérabilité en question

La vulnérabilité est liée à la fonction de protection par force brute du plug-in [lien en anglais], qui enregistrait toutes les tentatives de connexion à partir de noms d’utilisateurs inconnus dans la base de données SQL du site WordPress. Le problème réside dans le fait que ces tentatives de connexion n’étaient pas correctement nettoyées avant d’être enregistrées dans la base de données, ce qui signifie que le plug-in envoyait le nom d’utilisateur dans une requête SQL à la base de données au fur et à mesure qu’il était tapé dans le champ du nom d’utilisateur.

Cela signifie que quelqu’un aurait pu exécuter du code dans la base de données d’un site s’il se connectait à un site WordPress sur lequel le plug-in Loginizer était installé, en utilisant un nom d’utilisateur incluant une requête SQL [lien en anglais].

En d’autres termes, même une personne n’ayant que des compétences basique en termes de code aurait pu compromettre n’importe lequel des millions de sites WordPress utilisant ce plugin.

WordPress force une mise à jour de Loginizer

Normalement, lorsqu’un problème de sécurité – même sérieux – est découvert dans un plugin WordPress, WordPress laisse à l’administrateur du site le soin de mettre à jour ses propres plugins [lien en anglais].

La raison pour laquelle ils ne forcent généralement pas la mise à jour des plugins est que celles-ci peuvent parfois endommager le site de certains utilisateurs. WordPress considère alors que le coût de la mise à jour de ces sites est plus important que celui de la correction du bug.

Cette fois, cependant, la vulnérabilité était si grave qu’ils ne pouvaient pas prendre le risque, les poussant à forcer la mise à jour sur tous les sites web utilisant ce plug-in.

Comment vérifier que la mise à jour a été effectuée ?

Il est toujours utile de vérifier que la mise à jour a été effectuée pour garantir la sécurité de votre site. Voici comment :

  • Vérifiez si vous utilisez le plug-in Loginizer

Si c’est le cas, il sera listé dans l’onglet « Plugins » dans votre interface d’administration WordPress.

  • Vérifiez la version du plug-in

Vous devriez désormais utiliser la version 1.6.4, qui est la version corrigée, ou une version ultérieure. Si vous voyez que vous utilisez une version antérieure, mettez à jour le plug-in immédiatement.

Bonnes pratiques

Pour vous protéger de manière plus générale, voici des bonnes pratiques à suivre :

  1. Choisissez des plug-ins régulièrement mis à jour,
  2. Activez les snapshots sur votre instance de Simple Hosting,
  3. Sauvegardez régulièrement l’ensemble de votre instance Simple Hosting,
  4. Suivez les mises à jour de sécurité de WordPress [lien en anglais].