Dans un avis publié sur son site web, l’entreprise française Gandi annonce qu’une vulnérabilité sur un plugin WordPress est actuellement exploitée à grande échelle. Appel à la prudence.
WordPress est aujourd’hui le CMS open source le plus utilisé dans le monde. La prudence est donc de mise autour du CMS en lui-même – qu’il faut régulièrement mettre à jour pour être à l’abri des failles de sécurité -, mais aussi dans l’écosystème d’extensions (plugins) qui l’entourent.
Attention à « ThemeGrill Demo Importer »
Ainsi, explique Gandi, une faille de sécurité se trouve dans l’extension ThemeGrill Demo Importer.
Quels sont les risques ?
Cette vulnérabilité peut permettre à l’attaquant (au hacker) de prendre contrôle du site en effaçant l’intégralité des données.
Que faire ?
La version 1.6.2 corrige le problème. Les mises à jours sont directement visibles dans la section « Extension » de l’interface d’administration de WordPress. Une fois le plugin en version 1.6.2 installé, votre site WordPress n’est plus menacé par cette faille. Une seconde révision de l’extension a été publiée depuis lors. Elle porte le numéro de version 1.6.3.
WordPress et la sécurité : les bonnes pratiques
Sur son blog, l’hébergeur en profite pour rappeler quelques conseils de base, qui sont plus largement expliqués sur cette page. On y trouve également plusieurs liens et ressources utiles.
– Faire attention aux extensions WordPress que vous utilisez ;
– Activer les snapshots (sauvegardes) de votre hébergement ;
– Faire des sauvegardes régulières de l’intégralité de votre hébergement web WordPress ;
– Suivre les canaux de diffusion officiels de sécurité des outils que vous utilisez.
Gandi propose, depuis quelque temps, une offre Simple Hosting WordPress (hébergement simplifié) dédiée à WordPress. L’hébergement se fait en France ou au Luxembourg.
