Cette faille « Advanced Custom Fields » expose plus d’un million de sites WordPress aux attaques XSS
La faille de sécurité critique a été découverte dans le plugin populaire de WordPress ACF, exposant ainsi plus d’un million de sites Web à des attaques par injection de code malveillant de type Cross-site Scripting (XSS). L’équipe de notre support WordPress vous fait une synthèse des détails techniques de cette vulnérabilité et vous fournit des conseils pour sécuriser les sites Web concernés.
La mise à jour du plugin Advanced Custom Fields (ACF) est disponible dans le catalogue d’extensions WordPress.
a- Plugin WordPress vulnérable : ACF (Advanced Custom Fields)
La vulnérabilité concerne le plugin Advanced Custom Fields (ACF), qui permet aux développeurs de sites Web de créer et gérer des champs personnalisés pour leurs sites. ACF est largement utilisé par les développeurs de thèmes et de plugins, ainsi que par les administrateurs de sites WordPress.
b- Détails de la faille de sécurité
La faille de sécurité dans ACF réside dans la manière dont le plugin traite les données entrantes lors de l’édition d’un champ personnalisé. Un attaquant peut exploiter cette vulnérabilité en insérant un script malveillant dans le champ personnalisé, qui sera ensuite exécuté lorsque le site sera visité par les utilisateurs. Les attaques XSS peuvent être utilisées pour voler des informations sensibles, telles que les identifiants de connexion et les données personnelles des visiteurs du site.
Selon l’équipe de sécurité de Wordfence, qui a découvert la faille, l’exploitation de cette vulnérabilité est relativement simple et ne nécessite pas de compétences techniques avancées. Les attaquants peuvent tirer parti de l’absence de filtrage et de validation des données entrantes pour injecter du code JavaScript malveillant dans les champs personnalisés.
c- Impact de la vulnérabilité
Le nombre de sites Web affectés par cette faille de sécurité est estimé à plus d’un million ! Ce qui en fait l’une des plus importantes vulnérabilités de sécurité jamais découvertes dans un plugin WordPress. Les sites Web vulnérables incluent des blogs, des sites de commerce électronique, des portails d’information et d’autres types de sites Web.
d- Solutions et mesures de protection suite à la faille de sécurité du plugin ACF
Les développeurs d’ACF ont publié une mise à jour de sécurité pour résoudre cette vulnérabilité. Il est essentiel que les administrateurs de sites Web utilisant le plugin ACF appliquent cette mise à jour immédiatement pour protéger leurs sites contre les attaques XSS.
De plus, les administrateurs de sites Web doivent prendre les mesures suivantes pour renforcer la sécurité de leurs sites :
1. Faire appel à un professionnel du cms WordPress pour mettre à jour régulièrement tous les plugins, thèmes et le noyau WordPress.
2. Utiliser des plugins de sécurité pour surveiller et protéger leur site contre les attaques et les vulnérabilités.
3. Configurer des sauvegardes automatiques du site pour faciliter la récupération en cas d’attaque réussie.
4. Former les utilisateurs et les administrateurs du site sur les bonnes pratiques de sécurité en ligne et la prévention des attaques XSS.
La découverte de cette faille de sécurité dans le plugin ACF souligne l’importance de maintenir à jour les composants de sécurité des sites Web. Les administrateurs de sites Web doivent prendre des mesures immédiates pour appliquer les mises à jour du plugin ACF.
Si un propriétaire de site WordPress est victime de cette faille du plugin ACF, voici les étapes à suivre pour résoudre le problème et sécuriser le site
1. Restaurez une sauvegarde récente du site
Si vous avez effectué des sauvegardes régulières de votre site, restaurez une version antérieure à l’attaque. Cela permettra d’éliminer les modifications apportées par l’attaquant et de rétablir le site dans un état sûr.
2. Mettez à jour le plugin ACF
Assurez-vous que la dernière version du plugin Advanced Custom Fields soit installée pour corriger la vulnérabilité et protéger votre site contre de futures attaques sur le cms WordPress.
3. Analysez le site pour détecter d’éventuelles infections
Faites appel à un expert WordPress pour réaliser ce type d’analyse. Si un hacker à pu pénétrer dans votre site, il faut penser que d’autres ont le faire tout aussi automatiquement et sournoisement… Alors libre à eux de cacher de multiples chevaux de Troies. Vous pensiez être bien sécurisé, mais une fois l’un de chevaux de Troie activé c’est bien toute votre infrastructure qui en danger. Rappelez vous l’exemple des Panama papers…. Une faille de sécurité dans un site wordpress et une autre dans un site drupal et les hackeur ont eut un libre accès à 10 To de data…
4. Changez les mots de passe et les clés d’authentification
Modifiez les mots de passe de tous les comptes d’utilisateur et les clés d’authentification de votre site pour réduire les risques de réinfection.
Pour aller plus loin contacter le support WordPress
Pour contacter le support WordPress en France, vous pouvez vous rendre sur le site officiel du support WordPress francophone à l’adresse suivante : https://fr.wordpress.org/support/. Vous y trouverez des forums d’entraide et des ressources pour résoudre les problèmes liés à WordPress.
Si vous préférez obtenir de l’aide spécialisée, vous pouvez contacter le Centre de compétences pour le CMS WordPress du groupe Hob France Services, numéro un français de l’assistance pour WordPress. Au travers du site web, https://www.assistance-wp.com/, vous est proposé une assistance technique, des conseils de sécurité et des services de maintenance pour les sites WordPress. En contactant ce centre de compétences, vous obtiendrez une expertise professionnelle pour résoudre les problèmes liés à la faille de sécurité et protéger votre site contre les attaques futures.
Réservé aux développeurs, en savoir plus sur la sécurisation des données envoyées en base de données WordPress
Le « sanitisation » est un processus essentiel pour assurer la sécurité des entrées utilisateur dans WordPress. Il consiste à nettoyer et à valider les données entrantes avant de les utiliser ou de les stocker dans la base de données. Le but du processus de sanitisation est de prévenir les attaques sur les sites WordPress telles que les injections SQL et les attaques XSS en empêchant les utilisateurs d’insérer du code malveillant dans les entrées.
WordPress dispose d’une série de fonctions internes pour faciliter la sanitisation des données. Ces fonctions sont conçues pour filtrer et valider les données en fonction des types de données attendus. Voici quelques exemples de fonctions de sanitisation fournies par WordPress :
1. `sanitize_text_field()`
Cette fonction permet de nettoyer les chaînes de caractères en supprimant les balises HTML, les espaces inutiles et les caractères de contrôle. Elle est utile pour nettoyer les entrées de texte qui ne sont pas censées contenir de balises HTML ou de code.
2. `sanitize_email()`
Cette fonction valide et nettoie les adresses e-mail. Elle supprime les caractères non valides pour les adresses e-mail et vérifie si l’adresse est conforme au format standard des adresses e-mail.
3. `sanitize_key()`
Cette fonction est utilisée pour nettoyer les clés ou les identifiants. Elle convertit les caractères en minuscules et supprime les caractères non valides pour les clés.
4. `sanitize_option()`
Cette fonction permet de nettoyer les valeurs des options en fonction du type d’option spécifié. Par exemple, elle peut être utilisée pour nettoyer les options de thème ou les paramètres de plugin.
5. `sanitize_html_class()`
Cette fonction nettoie les noms de classe HTML en supprimant les caractères non valides et en conservant uniquement les caractères autorisés pour les noms de classe.
L’utilisation de ces fonctions et d’autres fonctions de sanitisation fournies par WordPress est essentielle pour garantir la sécurité des données et prévenir les attaques malveillantes. Les développeurs de plugins et de thèmes doivent s’assurer d’utiliser correctement ces fonctions pour valider et nettoyer les données entrantes avant de les traiter ou de les stocker.
Pour plus d’informations sur les fonctions de sanitisation dans WordPress et des exemples d’utilisation, consultez la documentation officielle du développeur WordPress à l’adresse suivante : https://developer.wordpress.org/apis/security/sanitizing.
Vous avez maintenance plus d’information pour assurer la sécurité de votre site WordPress suite à la faille de sécurité du plugin ACF.
