Le plugin Elementor est certainement l’un des plugins WordPress les plus populaires. Premier plugin WordPress à dépasser les 5 millions d’installations actives en 2020, le website builder a cependant fait parlé de lui récemment avec la signalisation d’une faille critique.
En avril dernier, une faille critique a été découverte dans la version 3.6.0 du plugin WordPress Elementor Website Builder. Il s’agit d’une vulnérabilité d’exécution de code à distance, ce qui signifie qu’un attaquant pourrait télécharger du code arbitraire pour aboutir à une prise de contrôle totale du site.
Pour exploiter cette faille, il faut d’abord disposer d’une authentification, ce qui signifie que n’importe quel attaquant ayant créé un compte utilisateur normal sur un site web utilisant cette version d’Elementor pourrait modifier complètement le site.
On a estimé que cette faille pourrait affecter jusqu’à 500 000 sites WordPress. Elle a été corrigée avec la version 3.6.3 d’Elementor.
La faille de sécurité signalée dans la version 3.6.0 d’Elementor est causée par l’absence d’un contrôle d’accès sur l’un des fichiers du plugin, le fichier module.php. Ce fichier est chargé à chaque requête, que ce soient des requêtes d’utilisateurs connectés ou non. Autrement dit, il manque un contrôle de capacité, cette couche de sécurité supplémentaire qui doit être prévue et codée par les fabricants de plugins et qui permet de vérifier le niveau de permission des utilisateurs avant l’exécution d’un code. Cette vérification de sécurité est mentionnée par WordPress dans son manuel des plugins, chapitre « Checking User Capabilities ».
Cette faille de sécurité provient d’un nouveau module (Onboarding) qui a été ajouté à la version 3.6.0 d’Elementor, sans inclure de vérification des capacités.
Ce problème de sécurité est grave car il permet aux pirates de télécharger des fichiers malveillants sous la forme d’un plugin WordPress pour pouvoir y accéder à distance.
Si vous utilisez la version 3.6.0 d’Elementor, la première chose à faire est de procéder à la mise à jour du plugin. Cette faille de sécurité a été corrigée avec la version 3.6.3 d’Elementor. Cependant, aucun détail sur le correctif n’a été communiqué. Il existe peut-être un risque minime, que certains utilisateurs ont souhaité éviter en supprimant complètement le plugin Elementor. Si vous souhaitez continuer à utiliser Elementor sans risques, la meilleure solution est de souscrire à notre assurance, qui protège votre site contre les attaques. Nous effectuons une veille permanente pour être informés des failles de sécurité et nous effectuons les mises à jour dès qu’elles sont disponibles. Notre assurance vous protège sans que vous n’ayez rien à faire des piratages et autres problèmes de sécurité graves sur WordPress.
23 mars 2024
Vous souhaitez aller plus loin et prendre en charge vous-mêmes la sécurisation de votre site WordPress ? Nous vous proposons plusieurs tutoriels pour mieux protéger votre site web contre les attaques et les piratages. Découvrez comment mettre à jour vos plugins – notamment des plugins à risque comme Slider Revolution –, et comment résoudre des erreurs fréquentes comme la limite de mémoire PHP ou l’écran blanc de la mort.
La sécurité d’Elementor, un constructeur de pages populaire pour WordPress, est cruciale pour maintenir la sûreté des sites web. Elementor, connu pour sa flexibilité et ses nombreuses fonctionnalités, peut cependant être vulnérable à diverses menaces en ligne, comme les attaques XSS, décrites en détail dans l’article sur l’attaque XSS et comment s’en protéger. Ces attaques peuvent injecter des scripts malveillants dans des sites web, compromettant ainsi la sécurité des données utilisateur.
Pour renforcer la sécurité, il est essentiel de suivre les pratiques de base de la sécurité WordPress, telles que l’utilisation de mots de passe forts et la mise à jour régulière des plugins et thèmes, comme expliqué dans l’article sur la sécurisation des identifiants des auteurs WordPress. Une autre mesure importante est la mise en œuvre de pare-feu et de systèmes de détection de malware, qui peuvent détecter et bloquer les tentatives de piratage et de cloaking, un sujet abordé dans l’article sur le détecteur de piratage et cloaking.
En outre, l’utilisation de SSL pour sécuriser les données transmises est devenue une norme pour les sites WordPress, comme mentionné dans l’article sur le passage de WordPress de HTTP à HTTPS. Ces mesures combinées avec la vigilance constante des administrateurs de sites web contribuent à maintenir la sécurité des sites WordPress utilisant Elementor.
Vos annonces Google Ads ne sont pas approuvées pour cause de liens malveillants ? Découvrez comment réparer cette erreur pour pouvoir continuer à diffuser les annonces de votre site web.
Les attaques XSS font partie des techniques de piratage les plus dévastatrices, que ce soit pour le propriétaire du site ou pour ses utilisateurs. Découvrez ce qu’est une attaque XSS et comment s’en protéger.
L’écran blanc de la mort, aussi appelé White Screen of Death (WsoD) ou page blanche, est l’une des
erreurs les plus fréquentes que l’on peut rencontrer sur WordPress. Cette erreur est très frustrante,
car elle affiche un écran blanc, sans indications de causes ou de solutions pour la corriger, et elle rend
le site inaccessible aussi bien à l’administrateur qu’aux visiteurs. Découvrez nos solutions pour
corriger l’erreur de l’écran blanc de la mort sur WordPress.
Vous êtes bloqué sur une page d’erreur qui affiche le message « Il y a eu une erreur critique sur ce site » et vous ne savez pas comment rétablir votre site web ? Découvrez nos solutions simples pour réparer ce type d’erreur sur WordPress.
Sécuriser son site internet est indispensable pour se protéger des cyberattaques. De plus en plus de hackers visent le système d’information des entreprises afin de voler des données à caractère personnel ou de porter atteinte à la réputation de l’entreprise. Mises à jour et sauvegardes régulières, certificat SSL, choix des plugins, surveillance du journal d’activité… découvrez tous nos conseils pour la sécurisation de votre site web.
En mars dernier, Wordfence a constaté une augmentation des piratages sur les sites WordPress hébergés chez GoDaddy, un service d’hébergement web américain. Tous les sites piratés avaient un point commun : une porte dérobée (backdoor) installée sur le fichier wp-config.php, presque identique d’un site à l’autre. Cette porte dérobée n’a pas été installée que sur des sites hébergés par GoDaddy mais près de 95 % des sites concernés étaient hébergés chez GoDaddy au moment du rapport de Wordfence.
Nos experts français assurent un support et une prestation de qualité.
SecuritéWP est un service accessible à tous qui vous accompagne dans la réparation de site et le nettoyage de votre site piraté. Notre équipe est composée d’experts français avec une forte expérience dans le web.
Vous n’avez besoin d’aucune connaissance technique : notre équipe se charge de tout ! Nous restons disponibles pour toute question durant le processus de nettoyage de votre site WordPress.
