Contre toute attente, un autre plugin WordPress populaire de Yoast s'avère contenir une faille de sécurité très critique qui pourrait être exploitée par les pirates pour détourner le site affecté.
La vulnérabilité actuelle se trouve dans le très populaire plugin WordPress dénommé Google Analytics by Yoast.
Il s’agit d’un plugin qui permet aux administrateurs de sites de surveiller le trafic de leurs sites en associant ce plugin avec leurs comptes Google Analytics.
Pour rappel, le plugin Google Analytics by Yoast à été téléchargé près de 7 millions de fois avec actuellement plus d’un million d’installations actives.
Déjà, au début de ce mois de Mars 2015, il avait été découvert une faille de sécurité concernant l’ensemble du plugin WordPress SEO by Yoast, de type Blind SQL Injection, qui permettait à des hackers de prendre le contrôle des sites infectés.
Quant au plugin Wordpress Google Analytics by Yoast, il est vulnérable à la persistance de Cross-Site Scripting (XSS) qui permet aux pirates d’exécuter des scripts PHP malicieux sur le serveur, afin d’en prendre le contrôle, ainsi que les comptes des administrateurs.
Les possibilités des XSS sont très larges puisque l'attaquant peut utiliser tous les langages pris en charge par le navigateur (JavaScript, Java, Flash...) et de nouvelles possibilités sont régulièrement découvertes notamment avec l'arrivée de nouvelles technologies comme HTML5.
Il est par exemple possible de rediriger vers un autre site pour du hameçonnage (phishing) ou encore de voler la session en récupérant les cookies.
Selon Thehackernews.com qui rapporte la découverte de la faille de sécurité par le dénommé Jouko Pynnönen, ce dernier aurait créé un patch qu’il a fourni à Yoast afin de sécuriser davantage son plugin contre les attaques XSS.
Par conséquent, il est recommandé à tous les sites et blogs ayant installé Google Analytics by Yoast de télécharger la dernière version en date du 19 Mars 2015 comprenant le patch cité plus haut.
