Urgent : Problème de sécurité grave sur le builder Elementor

Le plugin Elementor est certainement l’un des plugins WordPress les plus populaires. Premier plugin WordPress à dépasser les 5 millions d’installations actives en 2020, le website builder a cependant fait parlé de lui récemment avec la signalisation d’une faille critique.

23 septembre, 2022

Une faille critique signalée dans le plugin WordPress Elementor Website Builder

En avril dernier, une faille critique a été découverte dans la version 3.6.0 du plugin WordPress Elementor Website Builder. Il s’agit d’une vulnérabilité d’exécution de code à distance, ce qui signifie qu’un attaquant pourrait télécharger du code arbitraire pour aboutir à une prise de contrôle totale du site.
Pour exploiter cette faille, il faut d’abord disposer d’une authentification, ce qui signifie que n’importe quel attaquant ayant créé un compte utilisateur normal sur un site web utilisant cette version d’Elementor pourrait modifier complètement le site.
On a estimé que cette faille pourrait affecter jusqu’à 500 000 sites WordPress. Elle a été corrigée avec la version 3.6.3 d’Elementor.

En quoi la version 3.6.0 d’Elementor est-elle dangereuse pour la sécurité de votre site web ?

La faille de sécurité signalée dans la version 3.6.0 d’Elementor est causée par l’absence d’un contrôle d’accès sur l’un des fichiers du plugin, le fichier module.php. Ce fichier est chargé à chaque requête, que ce soient des requêtes d’utilisateurs connectés ou non. Autrement dit, il manque un contrôle de capacité, cette couche de sécurité supplémentaire qui doit être prévue et codée par les fabricants de plugins et qui permet de vérifier le niveau de permission des utilisateurs avant l’exécution d’un code. Cette vérification de sécurité est mentionnée par WordPress dans son manuel des plugins, chapitre « Checking User Capabilities ».
Cette faille de sécurité provient d’un nouveau module (Onboarding) qui a été ajouté à la version 3.6.0 d’Elementor, sans inclure de vérification des capacités.
Ce problème de sécurité est grave car il permet aux pirates de télécharger des fichiers malveillants sous la forme d’un plugin WordPress pour pouvoir y accéder à distance.

WordPress est sécurisé… si vous suivez les mesures de sécurité !

Pour confirmer que votre site a bien été piraté et trouver une solution, faites appel à nos experts. Wordpress Piraté vous propose ses services de protection et de réparation de votre site web piraté. Faites-nous confiance et confiez-nous la protection de votre site pour éviter les attaques malveillantes !

Comment se protéger de la faille de sécurité Elementor ?

Si vous utilisez la version 3.6.0 d’Elementor, la première chose à faire est de procéder à la mise à jour du plugin. Cette faille de sécurité a été corrigée avec la version 3.6.3 d’Elementor. Cependant, aucun détail sur le correctif n’a été communiqué. Il existe peut-être un risque minime, que certains utilisateurs ont souhaité éviter en supprimant complètement le plugin Elementor. Si vous souhaitez continuer à utiliser Elementor sans risques, la meilleure solution est de souscrire à notre assurance, qui protège votre site contre les attaques. Nous effectuons une veille permanente pour être informés des failles de sécurité et nous effectuons les mises à jour dès qu’elles sont disponibles. Notre assurance vous protège sans que vous n’ayez rien à faire des piratages et autres problèmes de sécurité graves sur WordPress.

Catégorie
Sécurité WordPress

Vous souhaitez aller plus loin et prendre en charge vous-mêmes la sécurisation de votre site WordPress ? Nous vous proposons plusieurs tutoriels pour mieux protéger votre site web contre les attaques et les piratages. Découvrez comment mettre à jour vos plugins – notamment des plugins à risque comme Slider Revolution –, et comment résoudre des erreurs fréquentes comme la limite de mémoire PHP ou l’écran blanc de la mort.