En tant qu’expert en sécurité WordPress, je suis ravi de partager avec vous les dernières informations sur la sécurité de WordPress, issues du rapport annuel de Wordfence pour 2024. Ce rapport est essentiel pour comprendre l’évolution des risques et garantir la protection de vos sites en 2025 et au-delà.
Le 29 mars 2025, nous avons reçu une soumission concernant une vulnérabilité d’exécution de code à distance dans le plugin UiPress lite, utilisé par plus de 10 000 sites WordPress. Cette faille permet aux attaquants d’exécuter du code à distance, ouvrant la porte à des actions malveillantes telles que l’injection de portes dérobées, l’exfiltration d’informations sensibles, et l’injection de spam ou de redirections SEO malveillantes. Ce type de vulnérabilité est particulièrement dangereux car il donne aux pirates la possibilité de prendre le contrôle total d’un site, de modifier son contenu ou d’y installer des scripts malveillants.
Je tiens à féliciter cynau1t et l’équipe TIANGONG pour avoir découvert et signalé cette vulnérabilité via le programme de récompenses de Wordfence. Grâce à leur travail, ils ont reçu une récompense de 430 dollars. Cette démarche responsable est essentielle pour la sécurité de l’écosystème WordPress. Chez SécuritéWP, nous partageons cette vision : la sécurité passe par la collaboration, la transparence et la réactivité.
Notre mission est de sécuriser WordPress par une défense en profondeur. C’est pourquoi nous investissons dans la recherche de vulnérabilités de qualité et collaborons avec des chercheurs de ce calibre. Nous encourageons également tous les propriétaires de sites à adopter une approche proactive de la sécurité, en mettant régulièrement à jour leurs extensions et en surveillant les alertes de sécurité.
Les utilisateurs de Wordfence Premium, Care, et Response ont reçu une règle de pare-feu pour se protéger contre toute exploitation de cette vulnérabilité dès le 31 mars 2025. Les sites utilisant la version gratuite de Wordfence ont bénéficié de la même protection 30 jours plus tard, le 30 avril 2025. Cette réactivité est un exemple à suivre pour tous les éditeurs de plugins et de solutions de sécurité.
Nous avons contacté l’équipe de UiPress le 31 mars 2025 et avons reçu une réponse le 2 avril 2025. Après avoir fourni tous les détails nécessaires, le développeur a publié un correctif le 13 mai 2025. Je vous encourage vivement à mettre à jour vos sites avec la dernière version corrigée de UiPress lite, la version 3.5.08, dès que possible. Ne tardez pas : chaque jour sans mise à jour augmente le risque d’exploitation.
Analyse Technique
UiPress lite est un constructeur visuel basé sur des blocs pour l’administration WordPress. En examinant le code, on constate que le plugin utilise la fonction uip_process_form_input() dans la classe uip_ajax pour traiter les entrées lors des soumissions de formulaires.
La fonction utilisée pour traiter le formulaire est définie à partir du paramètre userFunction récupéré des entrées utilisateur, et les données passées à la fonction sont récupérées du paramètre formData, également fourni par l’utilisateur. Malheureusement, il n’y a aucune restriction sur l’appel de la fonction, ce qui signifie que l’attaquant peut appeler une fonction arbitraire via le paramètre userFunction avec un paramètre arbitraire passé par le paramètre formData, rendant possible l’injection de code arbitraire.
Un exemple d’exploitation de cette vulnérabilité pour obtenir une élévation de privilèges est qu’un attaquant peut utiliser la fonction wp_update_user() pour mettre à jour son propre rôle d’utilisateur en administrateur. Comme pour toutes les vulnérabilités d’exécution de code à distance, cela peut conduire à une compromission complète du site via l’utilisation de webshells et d’autres techniques.
Chronologie de la Divulgation
- 29 mars 2025 : Réception des soumissions pour une vulnérabilité d’exécution de code à distance et une vulnérabilité de suppression de fichiers arbitraires dans UiPress lite via le programme de récompenses de Wordfence.
- 31 mars 2025 : Validation des rapports et confirmation des exploits de preuve de concept.
- 31 mars 2025 : Les utilisateurs de Wordfence Premium, Care, et Response ont reçu une règle de pare-feu pour se protéger contre toute exploitation de cette vulnérabilité.
- 31 mars 2025 : Contact initial avec le fournisseur du plugin pour confirmer la boîte de réception pour la discussion.
- 2 avril 2025 : Confirmation de la boîte de réception par le fournisseur.
- 2 avril 2025 : Envoi des détails complets de la divulgation au fournisseur.
- 30 avril 2025 : Les utilisateurs de Wordfence Free ont reçu la même protection.
- 13 mai 2025 : Publication de la version entièrement corrigée du plugin, 3.5.08.
Pourquoi la mise à jour est-elle cruciale ?
Dans cet article, j’ai détaillé une vulnérabilité d’exécution de code à distance dans le plugin UiPress lite affectant les versions 3.5.07 et antérieures. Cette vulnérabilité permet à des acteurs malveillants non authentifiés d’exécuter du code malveillant sur le serveur. La vulnérabilité a été corrigée dans la version 3.5.08 du plugin.
Je vous encourage à vérifier que vos sites sont mis à jour avec la dernière version corrigée de UiPress lite dès que possible, compte tenu de la nature critique de cette vulnérabilité. Les utilisateurs de Wordfence Premium, Care, et Response ont reçu une protection dès le 31 mars 2025, et les utilisateurs de la version gratuite ont été protégés à partir du 30 avril 2025.
Nos services pour une sécurité maximale
En tant qu’experts en réparation d’urgence WordPress, nous proposons une analyse complète, le nettoyage des malwares, la suppression des backdoors et le renforcement de la sécurité. Notre service de maintenance inclut l’installation d’antivirus, les mises à jour régulières, les sauvegardes et une surveillance 24/7, avec option d’hébergement Premium en France. Pour optimiser votre visibilité en ligne, nous offrons des services d’optimisation SEO technique, de stratégie éditoriale et de création de contenus ciblés.
Si vous connaissez quelqu’un qui utilise ce plugin sur son site, je vous recommande de partager cet avis avec lui pour garantir la sécurité de son site, car cette vulnérabilité représente un risque significatif.
Pour toute assistance, que ce soit pour une réparation d’urgence WordPress, une maintenance WordPress, ou une optimisation SEO, n’hésitez pas à me contacter. Je suis là pour vous aider à sécuriser et optimiser votre site WordPress.
Benjamin Bueno, Expert en Sécurité WordPress chez SécuritéWP
