300 000 sites WordPress exposés à une attaque par injection SQL

attaque par injection SQL

Au cours des derniers jours, les chercheurs en sécurité de Sucuri ont découvert une vulnérabilité dans l’un des plugins les plus populaires de WordPress. Aussi, ce sont plus de 300 000 sites qui seraient exposés à une attaque par injection SQL.

Le plugin WP Statistics sous le joug des hackers !

Alors que WordPress est le CMS le plus ciblé par les pirates informatiques, voilà qu’une partie des utilisateurs de ce dernier sont en danger.

En effet, les équipes de Sucuri ont découvert une vulnérabilité dans le plugin WP Statistics, un plugin très téléchargé qui permet aux administrateurs de sites web d’obtenir un grand nombre de statistiques telles le nombre de visites, de visiteurs uniques et ce pour chaque page.

Aussi, ce sont plus de 300 000 sites WordPress qui sont exposés à une attaque par injection SQL. Un attaquant distant a effectivement la possibilité de dérober des informations sensibles à partir de la base de données du site web mais aussi d’accéder à des sites web sans avoir eu préalablement l’autorisation de le faire.

Pour ce faire, il suffit d’injecter du code SQL malveillant dans la vulnérabilité présente dans plusieurs fonctions et due, semble-t-il, à un manque de désinfection des données qui sont fournies par l’utilisateur. Certaines fonctions ne vérifiant pas les privilèges supplémentaires, les abonnés aux sites peuvent aisément mener cette attaque.

Une mise à jour indispensable pour éliminer le risque d’ attaque par injection SQL

Vous êtes administrateur d’un site sous WordPress et vous avez téléchargé le plugin WP Statistics, vous redoutez donc désormais de compter parmi les victimes d’une potentielle attaque par injection SQL.

Rassurez-vous, le risque peut être éliminé pour la simple et bonne raison que Sucuri a rapidement prévenu le développeur à l’origine du plugin WP Statistics. Celui-ci a donc livré une mise à jour du plugin avec correctif, la version 12.0.8.

En téléchargeant cette dernière, vous êtes certain que votre site ne sera pas exposé à cette attaque par injection SQL.

No votes yet.
Please wait...

Be the first to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.


*