De multiples et sérieuses vulnérabilités viennent d'être découvertes dans le fameux plugin WordPress "All in One SEO Pack" qui serait en train de mettre en danger des millions de sites WordPress.
Si vous utilisez l'extension "All in One SEO Pack" pour facilier l'optimisation de votre site ou blog en vue d'un meilleur référencement sur les moteurs de recherche, vous devez immédiatement mettre à jour ce plugin avec la dernière version disponible (version 2.1.6).
En effet, l'Equipe de All in One SEO a mis à disposition une dernière mise à jour de sécurité d'urgence avec des patches sensés corriger deux vulnérabilités très critiques. Ainsi qu'une faille Cross-Site Scripting (XSS). Ces vulnérabilités ont été découvertes par les Chercheurs en sécurité internet de chez Sucuri, une entreprise de surveillance du web et de nettoyage de logiciels malveillants.
Pour rappel, 73 millions de sites web ou blog utilisent WordPress dont 15 millions utilisent actuellement le plugin All in One SEO Pack pour optimiser leurs sites.
Quels sont les risques ?
D'après Sucuri, les vulnérabilités d'ajout de privilèges détectées permettent à toute personne d'ajouter et de modifier les informations des balises Meta du site WordPress afin de nuire au classement dudit site sur les moteurs de recherche.
Ainsi, si vous avez des membres inscrits, des auteurs et des utilisateurs non-administrateurs qui se connectent à votre wp-admin, ce sera à vos propres risques. Si vous proposez un formulaire d'inscription ou de contact, ce sera aussi à vos risques et périls à condition de télécharger la dernière version de All in One SEO Pack.
Car, tout utilisateur se connectant à votre wp-admin, sans aucun privilège d'administrateur (auteur ou simple membre) peut ajouter ou modifier certains paramètres utilisés par ce plugin. Des paramètres tels que le titre, les balises meta title, description et keywords. Histoire de "plomber" votre référencement et vous faire perdre du trafic moteur. C'est fait pour nuire à autrui...
Quant à la faille XSS, son principe est d’injecter un code malveillant en langage de script dans un site web vulnérable, par exemple en déposant un message dans un forum qui redirige l’internaute vers un faux site (phishing) ou qui vole des informations (cookies).
Ce qui veut dire qu'à partir de cette faille Cross-Site Scripting (XSS), toute personne pourrait injecter un code JavaScript qui pourrait lui permettre de changer le mot de passe du compte Admin du site WordPress afin de laisser un "backdoor" (porte ouverte par derrière) par lequel il reviendra plus tard commettre ses méfaits.
Alors, si vous utilisez le plugin WordPress All in One SEO Pack, il vous est fortement recommandé de le mettre à jour dès aujourd'hui. Surtout, assurez-vous auparavant que vous avez la version WordPress 3.9 installée pour éviter des problèmes de compatibilité.
Voici maintenant comment bien référencer votre site internet sur Google.
