La sécurité des sites WordPress vient encore d’être mise à rude épreuve. Après la découverte du malware SoakSoak en décembre dernier qui a infecté 100 000 sites WordPress, une autre vulnérabilité a été découverte risquant de mettre en péril un nombre bien plus important de sites.

Ainsi, plus d’un million de sites WordPress utilisant le plug-in Yoast permettant d’optimiser le référencement dans les résultats des moteurs de recherches sont exposées à des attaques par injection SQL.

Le plug-in SEO, développé par la société allemande Yoast, contient une vulnérabilité qui permet à des attaquants de manipuler la base de données d’un site et d’ajouter de faux comptes administrateurs. Cette vulnérabilité de type injection SQL a été découverte par le chercheur en sécurité Ryan Dewhurst, co-développeur du scanner de vulnérabilité WPScan. « Comme il n’y a pas de protection anti Cross Site Request Forgery [un type d’attaque qui force un utilisateur à exécuter des actions non voulues, NDLR], un attaquant distant non authentifié pourrait utiliser cette vulnérabilité pour exécuter des requêtes SQL arbitraires sur le site WordPress de la victime en incitant un utilisateur administrateur, éditeur ou auteur à cliquer sur un lien pointant vers une page web qu’il contrôle », a indiqué Ryan Dewhurst. « Un scénario possible d’attaque serait qu’un attaquant ajoute son propre compte administrateur sur le site WordPress cible pour compromettre l’ensemble du site ».

Cette faille affecte les versions 1.7.3.3 et plus anciennes du plug-in de Yoast pour WordPress. L’éditeur a réagi et publié une nouvelle version, 1.7.4, corrigeant le problème. La version commerciale de ce plug-in a également été mise à jour. La version gratuite de ce plug-in a été téléchargée plus de 14,2 millions de fois. Selon des statistiques WordPress officielles, Yoast a été installé plus d’un million de fois, ce qui en fait l’un des plus populaires plug-ins WordPress.