WordPress est de loin le système de gestion de contenu le plus populaire (CMS), et représente presque un quart de l’ensemble du Web. Il n’est donc pas surprenant d’apprendre qu’il est sous surveillance constante contre les hackers désireux d’exploiter sa popularité croissante.
Le fournisseur SaaS (Security as a- service, en anglais) Zscaler a indiqué qu’un certain nombre de sites Web basés sur WordPress ont été compromis après que des utilisateurs se sont connectés à leur site depuis une page d’accueil contenant du code malveillant. Une fois les données capturées, elles ont ensuite été envoyées dans un format crypté au hacker.
Afin de garder votre site WordPress très souvent à jour, cela se résume généralement à une problématique de permettre au CMS de se mettre à jour automatiquement à la dernière version, qui est actuellement la 4.2.2.
Cette dernière résout également une faille qui a affecté le package Genericons WordPress, une vulnérabilité cross-site scripting (abrégé XSS) en utilisant la DOM. Ce qui rend cette faille très critique est qu’elle affecte potentiellement des millions de sites Web dans le monde entier.
Selon David Dede, qui fait partie de l’équipe Sucuri qui a trouvé la faille, « la problématique principale ici est que le package Genericons, qui peut être utilisé par un plug-in ou un thème, est potentiellement vulnérable s’il comprend le fichier exemple.html ».
WordPress 4.2.2 résout cette faille ainsi qu’une autre vulnérabilité DOM-XSS, et plus d’une douzaine d’autres bugs moins importants.