WordPress-Woocommerce : une faille menace des boutiques en ligne

Les pirates exploitent une faille de Woocommerce, un plug-in installé sur plusieurs dizaines de milliers de boutiques sous Wordpress. Un correctif existe mais les mises à jour tardent du côté des marchands.

Quand un site sous WordPress est victime de hackers, c’est le plus souvent à cause d’un plug-in mal codé ou non mis à jour…

C’est une nouvelle fois le cas puisque l’éditeur de pare-feu Defiant révèle que des pirates ont lancé des attaques contre les sites conçus sous WordPress utilisant le plug-in Woocommerce pour leur boutique en ligne.

Exploitation d’une faille Cross Site Scripting (XSS) 

Plus précisément, les hackers exploitent une faille dans le plug-in « Abandoned Cart Lite for WooCommerce », installé sur plusieurs dizaines de milliers de sites sous WordPress.

Selon ZDnet, le plug-in permet d’afficher les paniers auxquels les utilisateurs n’ont pas donné suite, et ils sont habituellement visibles uniquement par les éditeurs du site.

Sauf que les pirates ont exploité une faille Cross Site Scripting (XSS) pour injecter du code dans les pages. En l’occurrence, ils utilisent un champ du formulaire pour ajouter du code dans la base de données du site, et c’est lorsqu’un administrateur consulte les paniers que le code s’exécute.

Le plug-in en question a été mis à jour le 18 février dernier pour corriger cette faille mais les attaques récentes démontrent que beaucoup de sites n’ont pas installé ce correctif, et il est donc conseillé d’installer la toute dernière version de ce plug-in, ou tout simplement de le désactiver.