...
vous avez été piraté ? obtenir de l'aide
Benjamin Bueno CEO Textone & WordPress Pirate
Benjamin Bueno

Expert Cybersécurité

14 octobre, 2022
mettre à jour le plugin UpdraftPlus
Nombreux sont les utilisateurs WordPress qui utilisent le plugin de sauvegarde UpdraftPlus pour réaliser leurs back ups. Si vous faites partie de ces utilisateurs, saviez-vous qu’une faille de sécurité importante a été découverte dans l’une des versions du plugin ? Découvrez pourquoi vous devez mettre à jour le plugin UpdraftPlus au plus vite.

Qu’est-ce que le plugin UpdraftPlus ?

Le plugin UpdraftPlus est un plugin WordPress gratuit qui permet de faire des sauvegardes de son site, mais aussi de restaurer une sauvegarde ou de cloner un site WordPress. Très facile d’utilisation, ce plugin compte plus de 3 millions d’installations.Le malware Popunder fonctionne de manière assez classique : il va rediriger les visiteurs du site WordPress infecté vers des sites d’escroquerie. La redirection se fait après quelques secondes de chargement, de manière souvent aléatoire pour ne pas alerter trop rapidement les propriétaires des sites. Certains administrateurs de sites WordPress ont ainsi mis du temps avant de repérer l’infection sur leur site !

Qu’est-ce que le plugin UpdraftPlus _

Pourquoi la mise à jour du plugin UpdraftPlus est-elle nécessaire ?

Au début de l’année, le chercheur en sécurité Marc Montpas a découvert une vulnérabilité dans le plugin UpdraftPlus. Cette vulnérabilité permet à tout utilisateur connecté ou abonné de télécharger des sauvegardes effectuées avec le plugin. Or, les sauvegardes contiennent un grand nombre d’informations sensibles, ainsi que des fichiers de configuration qui pourraient être utilisés pour accéder au contenu de la base de données du site.
La faille de sécurité vient d’une fonctionnalité qui a été mal implémentée dans le plugin. En tant que plugin de sauvegarde, UpdraftPlus permet de télécharger ses sauvegardes. L’objectif était de laisser la possibilité à l’utilisateur d’envoyer des liens de téléchargement de sauvegarde à une adresse électronique de son choix. Cependant, la fonctionnalité a été mal mise en œuvre et permet à tout utilisateur authentifié (y compris les abonnés) de créer un lien leur permettant de télécharger des fichiers de sauvegarde.
Une mise à jour du plugin a été publiée en février 2022 pour corriger cette faille de sécurité.

WordPress est sécurisé… si vous suivez les mesures de sécurité !

Pour confirmer que votre site a bien été piraté et trouver une solution, faites appel à nos experts. 
Wordpress Piraté vous propose ses services de protection et de réparation de votre site web piraté. Faites-nous confiance et confiez-nous la protection de votre site pour éviter les attaques malveillantes !

Est-ce que mon site est menacé par la faille de sécurité UpdraftPlus ?

Pour exploiter la vulnérabilité du plugin UpdraftPlus, l’attaquant doit disposer d’un compte actif. Cette faille de sécurité est donc susceptible d’être utilisée uniquement dans le cadre d’une attaque ciblée. Toutefois, même si cela restreint les possibilités d’attaque de votre site WordPress, il faut garder en tête que les conséquences d’une attaque ciblée sont graves car l’attaquant peut prendre le contrôle de votre site web et accéder à votre base de données. Pour un site e-commerce, une telle faille de sécurité peut être très dangereuse car la base de données contient toutes les commandes et données clients. Même pour un site non e-commerce, le résultat d’une attaque ciblée peut être grave car l’attaquant peut effectuer des clones de votre site, ce qui aura un impact désastreux sur le référencement de votre site.

Quelle version du plugin UpdraftPlus dois-je installer ?

Le correctif à cette vulnérabilité a été déployé dans la version 1.22.3 du plugin de sauvegarde UpdraftPlus. Si vous êtes utilisateur d’UpdraftPlus, il faudra donc vérifier si vous avez bien cette version du plugin, qui est la plus récente. Si ce n’est pas le cas, vous devez mettre à jour le plugin UpdraftPlus au plus vite. En effet, personne ne pense à mettre à jour ce plugin car on ne l’utilise pas tout le temps.

Assurez votre site WordPress pour vous protéger des failles de sécurité !

Malheureusement, les sites WordPress se trouvent souvent exposés à des failles de sécurité puisqu’ils fonctionnent beaucoup avec des plugins. Pour se protéger des vulnérabilités et éviter d’exposer ses données sensibles à un attaquant, il est nécessaire de réaliser toutes les mises à jour dès qu’elles sont disponibles. Or, cela n’est pas toujours simple car parfois, les mises à jour de plugins peuvent être incompatibles avec des plugins ou thèmes existants et causer des erreurs sur WordPress.
Pour éviter de se trouver dans cette situation, l’idéal est de souscrire une assurance pour son site WordPress. Notre assurance WordPress vous garantit une protection constante contre les risques de piratage. Nous nous chargeons de la mise à jour de vos plugins et nous vous protégeons contre l’installation de portes dérobées ou logiciels malveillants sur votre site web.

Benjamin Bueno

21 mars 2024

Si vous utilisez le plugin Slider Revolution, lisez notre article : Pourquoi il est urgent de mettre à jour le plugin Slider Revolution. Si vous souhaitez en savoir plus sur les plugins et leur mise à jour, lisez nos articles sur les plugins de sécurité WordPress, la désactivation des plugins via FTP, ou encore les meilleures pratiques pour mettre à jour ses plugins et son thème WordPress.

Le plugin UpdraftPlus est un outil essentiel pour de nombreux utilisateurs WordPress, offrant une méthode pratique et efficace pour sauvegarder, restaurer, ou cloner un site WordPress. Cependant, une faille de sécurité majeure a été découverte récemment dans une version du plugin, rendant impérative sa mise à jour immédiate. Cette vulnérabilité, découverte par le chercheur en sécurité Marc Montpas, permettait à tout utilisateur connecté, même simplement abonné, de télécharger des sauvegardes de sites. Ces sauvegardes, contenant des données sensibles et des fichiers de configuration, exposaient potentiellement des informations critiques, y compris l’accès à la base de données du site.

La version 1.22.3 d’UpdraftPlus a été rapidement mise à jour pour corriger cette vulnérabilité. Si vous utilisez UpdraftPlus, il est crucial de s’assurer que vous disposez de cette version mise à jour. La négligence de cette mise à jour pourrait laisser votre site ouvert à des attaques, en particulier pour les sites e-commerce où les données client sont particulièrement sensibles.

Ce cas souligne l’importance de la mise à jour régulière des plugins pour maintenir la sécurité des sites WordPress. Malgré les défis posés par les incompatibilités potentielles entre les mises à jour de plugins et les thèmes existants, la protection des données sensibles doit rester une priorité. SecuriteWP propose des services d’assurance WordPress pour une protection constante contre les risques de piratage, s’occupant des mises à jour des plugins et de la protection contre les logiciels malveillants.

Pour plus d’informations sur la protection et la maintenance de votre site WordPress, visitez SecuriteWP. Si vous rencontrez des problèmes d’accès à votre site, consultez cette page. Pour des informations sur la blacklist Google Ads due au piratage, référez-vous à ce lien.

Nos experts français assurent un support et une prestation de qualité.

je demande de l’AIDE

Recevoir un devis
Demander un devis pour réparer un site

inscrivez vous a la newsletter

Nous vous enverrons des informations utiles et de qualité pour apprendre ainsi à mieux protéger votre site.
newsletter pour actualité WorPress

Partager cet article