Une faille dans un plugin anti-spam WordPress avec plus de 200 000 installations permet à des plugins malveillants d'être installés sur les sites Web concernés. Les chercheurs en sécurité ont évalué la vulnérabilité à 9,8 sur 10, ce qui reflète le niveau de gravité élevé déterminé par les chercheurs en sécurité.
- Une faille dans un plugin anti-spam WordPress touche plus de 200 000 sites.
- La vulnérabilité permet l'installation de plugins malveillants sur les sites concernés.
- Les attaquants peuvent obtenir un accès complet sans authentification.
- Recommandation : mettre à jour vers la version 6.44 ou supérieure du plugin.
Capture d'écran de l'évaluation de la gravité de la vulnérabilité CleanTalk
Vulnérabilité du plug-in WordPress anti-spam CleanTalk
Un pare-feu anti-spam très apprécié, avec plus de 200 000 installations, s'est avéré présenter une vulnérabilité de contournement d'authentification qui permet aux attaquants d'obtenir un accès complet aux sites Web sans fournir de nom d'utilisateur ou de mot de passe. La faille permet aux attaquants de télécharger et d'installer n'importe quel plugin, y compris les logiciels malveillants, leur accordant ainsi le contrôle total du site.
La faille dans la protection anti-spam, Anti-Spam, FireWall by CleanTalk, a été identifiée par les chercheurs en sécurité de Wordfence comme étant causée par une usurpation DNS inversée. DNS est le système qui transforme une adresse IP en nom de domaine. L'usurpation d'identité DNS inversée consiste pour un attaquant à manipuler le système pour montrer qu'il provient d'une adresse IP ou d'un nom de domaine différent. Dans ce cas, les attaquants peuvent tromper le plugin Ant-Spam en lui faisant croire que la demande malveillante provient du site Web lui-même et parce que ce plugin ne vérifie pas que les attaquants obtiennent un accès non autorisé.
Cette vulnérabilité est classée comme : Autorisation manquante. Le site Web Common Weakness Enumeration (CWE) définit cela comme :
« Le produit n'effectue pas de contrôle d'autorisation lorsqu'un acteur tente d'accéder à une ressource ou d'effectuer une action. »
Wordfence l'explique ainsi :
« Le plugin de protection anti-spam, anti-spam et FireWall de CleanTalk pour WordPress est vulnérable à l'installation arbitraire de plugins non autorisée en raison d'un contournement d'autorisation via une usurpation DNS inversée sur la fonction checkWithoutToken dans toutes les versions jusqu'à 6.43.2 incluse. Cela permet à des attaquants non authentifiés d’installer et d’activer des plugins arbitraires qui peuvent être exploités pour réaliser l’exécution de code à distance si un autre plugin vulnérable est installé et activé.
Recommandation
Wordfence recommande aux utilisateurs du plugin concerné de mettre à jour vers la version 6.44 ou supérieure.
Lisez l’avis de Wordfence :
Protection anti-spam, anti-spam, pare-feu par CleanTalk <= 6.43.2 – Contournement d'autorisation via une usurpation DNS inversée vers une installation de plug-in arbitraire non authentifié
Image en vedette par Shutterstock/SimpleB
FAQ
Quel est le plugin anti-spam pour WordPress ?
Le plugin anti-spam le plus connu et utilisé pour WordPress est Akismet. Il est recommandé par WordPress pour ses performances et sa fiabilité.
Il existe également d'autres plugins comme Spam Protection by CleanTalk, Anti-Spam Bee ou encore WP-SpamShield, qui offrent des fonctionnalités similaires. Il est important de choisir un plugin anti-spam efficace pour protéger votre site contre les commentaires indésirables et les attaques de spam en ligne.
Est-ce qu'il existe un plugin anti-spam des emails sur WordPress ?
Yes, il existe en effet plusieurs plugins anti-spam pour les emails sur WordPress. Certains sont gratuits et d'autres payants, mais ils permettent tous de filtrer les spam et les messages indésirables. Des exemples de plugins populaires sont Akismet, Antispam Bee ou encore WP-SpamShield.
Il est recommandé d'installer un plugin anti-spam pour éviter de recevoir trop de courriels non sollicités et préserver la sécurité de son site WordPress.
Quel est le meilleur plugin gratuit pour lutter contre les spam sur WordPress ?
3. De plus, il dispose de nombreuses fonctionnalités personnalisables pour mieux s'adapter aux besoins de chaque utilisateur. 4. Enfin, son utilisation est assez simple et ne nécessite pas de connaissances techniques avancées en informatique.
Comment prévenir et bloquer le spam dans les commentaires sur WordPress avec un plugin ?
Les plugins anti-spam fonctionnent en bloquant automatiquement les commentaires suspects ou indésirables en utilisant des filtrages basés sur différents critères tels que les adresses IP, le contenu du commentaire ou encore des mots-clés fréquemment utilisés par des spammeurs. 3. Ces plugins sont souvent très efficaces et peuvent grandement réduire la quantité de spam reçu sur votre site WordPress. Cependant, il est important de garder à l'esprit que certains faux positifs peuvent se produire, c'est-à-dire que des commentaires légitimes peuvent également être bloqués. 4. Il est donc conseillé d'utiliser un plugin anti-spam en complément avec une modération manuelle des commentaires pour s'assurer qu'aucun commentaire valide ne soit supprimé par erreur. Certains plugins offrent également la possibilité aux utilisateurs de signaler un faux positif afin de corriger leur algorithme et d'améliorer leur performance dans le futur.
Existe-t-il un plugin gratuit pour empêcher le spam de commentaires sur WordPress ?
Oui, il existe plusieurs plugins gratuits pour lutter contre le spam de commentaires sur WordPress tels que Akismet ou Antispam Bee. Ces plugins utilisent des filtres et des algorithmes pour détecter et bloquer les commentaires indésirables.
Il est également possible de personnaliser ces paramètres pour une meilleure efficacité. Enfin, il est recommandé de régulièrement vérifier la modération des commentaires pour supprimer manuellement ceux qui auraient échappé aux filtres du plugin.