Le plugin Elementor est certainement l’un des plugins WordPress les plus populaires. Premier plugin WordPress à dépasser les 5 millions d’installations actives en 2020, le website builder a cependant fait parlé de lui récemment avec la signalisation d’une faille critique.
En avril dernier, une faille critique a été découverte dans la version 3.6.0 du plugin WordPress Elementor Website Builder. Il s’agit d’une vulnérabilité d’exécution de code à distance, ce qui signifie qu’un attaquant pourrait télécharger du code arbitraire pour aboutir à une prise de contrôle totale du site.
Pour exploiter cette faille, il faut d’abord disposer d’une authentification, ce qui signifie que n’importe quel attaquant ayant créé un compte utilisateur normal sur un site web utilisant cette version d’Elementor pourrait modifier complètement le site.
On a estimé que cette faille pourrait affecter jusqu’à 500 000 sites WordPress. Elle a été corrigée avec la version 3.6.3 d’Elementor.
La faille de sécurité signalée dans la version 3.6.0 d’Elementor est causée par l’absence d’un contrôle d’accès sur l’un des fichiers du plugin, le fichier module.php. Ce fichier est chargé à chaque requête, que ce soient des requêtes d’utilisateurs connectés ou non. Autrement dit, il manque un contrôle de capacité, cette couche de sécurité supplémentaire qui doit être prévue et codée par les fabricants de plugins et qui permet de vérifier le niveau de permission des utilisateurs avant l’exécution d’un code. Cette vérification de sécurité est mentionnée par WordPress dans son manuel des plugins, chapitre « Checking User Capabilities ».
Cette faille de sécurité provient d’un nouveau module (Onboarding) qui a été ajouté à la version 3.6.0 d’Elementor, sans inclure de vérification des capacités.
Ce problème de sécurité est grave car il permet aux pirates de télécharger des fichiers malveillants sous la forme d’un plugin WordPress pour pouvoir y accéder à distance.
Si vous utilisez la version 3.6.0 d’Elementor, la première chose à faire est de procéder à la mise à jour du plugin. Cette faille de sécurité a été corrigée avec la version 3.6.3 d’Elementor. Cependant, aucun détail sur le correctif n’a été communiqué. Il existe peut-être un risque minime, que certains utilisateurs ont souhaité éviter en supprimant complètement le plugin Elementor. Si vous souhaitez continuer à utiliser Elementor sans risques, la meilleure solution est de souscrire à notre assurance, qui protège votre site contre les attaques. Nous effectuons une veille permanente pour être informés des failles de sécurité et nous effectuons les mises à jour dès qu’elles sont disponibles. Notre assurance vous protège sans que vous n’ayez rien à faire des piratages et autres problèmes de sécurité graves sur WordPress.
23 mars 2024
Vous souhaitez aller plus loin et prendre en charge vous-mêmes la sécurisation de votre site WordPress ? Nous vous proposons plusieurs tutoriels pour mieux protéger votre site web contre les attaques et les piratages. Découvrez comment mettre à jour vos plugins – notamment des plugins à risque comme Slider Revolution –, et comment résoudre des erreurs fréquentes comme la limite de mémoire PHP ou l’écran blanc de la mort.
La sécurité d’Elementor, un constructeur de pages populaire pour WordPress, est cruciale pour maintenir la sûreté des sites web. Elementor, connu pour sa flexibilité et ses nombreuses fonctionnalités, peut cependant être vulnérable à diverses menaces en ligne, comme les attaques XSS, décrites en détail dans l’article sur l’attaque XSS et comment s’en protéger. Ces attaques peuvent injecter des scripts malveillants dans des sites web, compromettant ainsi la sécurité des données utilisateur.
Pour renforcer la sécurité, il est essentiel de suivre les pratiques de base de la sécurité WordPress, telles que l’utilisation de mots de passe forts et la mise à jour régulière des plugins et thèmes, comme expliqué dans l’article sur la sécurisation des identifiants des auteurs WordPress. Une autre mesure importante est la mise en œuvre de pare-feu et de systèmes de détection de malware, qui peuvent détecter et bloquer les tentatives de piratage et de cloaking, un sujet abordé dans l’article sur le détecteur de piratage et cloaking.
En outre, l’utilisation de SSL pour sécuriser les données transmises est devenue une norme pour les sites WordPress, comme mentionné dans l’article sur le passage de WordPress de HTTP à HTTPS. Ces mesures combinées avec la vigilance constante des administrateurs de sites web contribuent à maintenir la sécurité des sites WordPress utilisant Elementor.
Votre site WordPress affiche un message « Connexion non sécurisée » ou « erreur SSL » dans le navigateur ? Cette alerte effraie les visiteurs, bloque
Vous avez constaté une perte de visibilité de votre site sur Google ? Votre référencement naturel est moins performant et votre trafic est moins qualifié
Votre site WordPress affiche HTTP error 429 ? Ce message « Too Many Requests » apparaît lorsqu’un trop grand nombre de requêtes sont envoyées au
Tomber sur une page introuvable ou un lien cassé est l’une des expériences les plus frustrantes pour un visiteur. Au-delà de la gêne occasionnée, une
L’erreur 502 Bad Gateway (“Mauvaise passerelle”) est généralement temporaire et peut être corrigée facilement. Toutefois, il arrive qu’elle cache un problème plus profond. Une erreur
Vous rencontrez l’erreur 500 Internal Server Error sur votre site WordPress et vous ne savez pas comment résoudre le problème ? Découvrez nos conseils pour
Nos experts français assurent un support et une prestation de qualité.
SecuritéWP est un service accessible à tous qui vous accompagne dans la réparation de site et le nettoyage de votre site piraté. Notre équipe est composée d’experts français avec une forte expérience dans le web.
Vous n’avez besoin d’aucune connaissance technique : notre équipe se charge de tout ! Nous restons disponibles pour toute question durant le processus de nettoyage de votre site WordPress.
Unsere Seite auf Deutsch: Website Bereinigung
