Une faille de sécurité très critique vient d’être découverte dans l’un des plus populaires plugins WordPress qui risque de faciliter le piratage de plus 1,3 million de sites.
Cette vulnérabilité se trouverait actuellement dans toutes les versions du plugin dénommé Wettable Powder Slimstat (ou tout simplement WP Slimstat).
Il s’agit d’un plugin Analytics qui fournit des statistiques de trafic et des performances des serveurs en temps réel.
Selon le site Sucuri, toutes les versions de WP-Slimstat avant la dernière version 3.9.6 contiennent une clé “secrète” facile à trouver (chiffrement du timestamp avec un algorithme MD5 au moment de l’installation) qui est utilisée pour protéger toutes les données envoyées vers et depuis les ordinateurs des utilisateurs finaux.
Or, depuis des sites tels que Archive.org, il est possible pour un pirate de retrouver la date à laquelle le plugin a été installé.
Une fois cette clé secrète trouvée, le pirate pourra alors injecter du code SQL pour exploiter la faille de sécurité afin de récupérer des informations sensibles depuis la base de données.
Y compris les mots de passe même cryptés et les autres clés de chiffrement utilisées à distance pour administrer le site WordPress.
Si vous utilisez WP-Slimstat, il est temps de le mettre à jour.
