Selon un message posté par l’équipe de recherche sur la sécurité de Sucuri, des millions de sites WordPress pourraient courir un risque, en référence à une faille dans le populaire thème inclus dans la configuration par défaut.
La faille se nourrit d’une vulnérabilité XSS (cross-site scripting) connu comme un « DOM-Based XSS » ou Document Object Model. Selon l’agence, le DOM est utilisé pour présenter au navigateur comment afficher des en-têtes, des images, du texte ou des liens qui sont affichés à l’intérieur d’un thème WordPress chargé.
Le thème, nommé Twenty Fifteen, est installé par défaut pour tous ceux qui ont WordPress, ce qui en fait une cible particulièrement importante pour tous les hackers qui veulent attraper le plus gros poisson.
La faille s’amplifie lorsqu’un administrateur du site clique sur un lien malveillant, soit dans un e-mail ou sur un site de phishing en étant connecté à WordPress, permettant une analyse automatique du serveur pour potentiellement entrer.
Il faut mettre à jour le thème Twenty Fifteen
Ce qui rend celui-ci d’autant plus inquiétant est le fait que le bug n’a pas besoin que votre site exécute Twenty Fifteen pour fonctionner. En effet, puisque le thème est inclus dans la base de données de chaque déploiement, vous pourriez être immédiatement piraté.
Si vous possédez un site WordPress (quelle que soit la version installée), vous devez utiliser l’outil de requête pour vérifier et voir si vous pourriez être vulnérable à une attaque.
Assurez-vous de mettre à jour le thème afin d’être immunisé contre la menace.
