300 000 sites WordPress menacés par une faille du greffon WP Statistics

L’avantage des grandes plates-formes web est qu’elles sont utilisées – et donc mises à l’épreuve – par un grand nombre de webmasters. Le désavantage est que chaque faille trouvée peut toucher des milliers de sites.

C’est malheureusement le cas aujourd’hui pour l’outil WordPress, mis à mal par l’un de ses plug-ins. Une vulnérabilité de type injection SQL touche en effet le greffon WP Statistics, utilisé sur plus de 300 000 sites web, indique Sucuri, qui a découvert cette faille.

L’injection de code au travers d’une requête SQL est une erreur de débutant, diront certains. Mais également fort difficile à détecter et à corriger. C’est ici sans surprise un défaut de nettoyage des requêtes qui permet de faire appel à la base de données de manière inadéquate.

Mise à jour obligatoire

Ce souci a été corrigé dans WP Statistics 12.0.8.1, mis en ligne le 29 juin dernier. La mise à niveau vers cette version devra être réalisée sans tarder. Notez que depuis, deux autres versions ont été livrées. Dont l’une s’appuyant sur des librairies à jour, pouvant elles aussi corriger des bugs et soucis de sécurité.

À travers ce problème, c’est tout le souci d’empilement des failles que nous voyons transparaitre. Celles des outils eux-mêmes (ici WordPress), mais aussi celles de leurs greffons (ici WP Statistics), ou encore celles des librairies et frameworks utilisés. Sans compter les bugs liés aux bases de données et autres outils tiers. Un mille-feuille extrêmement complexe à gérer du point de vue de la sécurité.