Publié le 1 mai 2023, modifié le 28 mars 2024 par Lucie Blanchard

Le plugin WordPress WPCode – Insert Headers and Footers + Custom Code Snippets, avec plus d’un million d’installations, a été découvert comme ayant une vulnérabilité qui pourrait permettre à l’attaquant de supprimer des fichiers sur le serveur.

  • Le plugin WordPress WPCode a une vulnérabilité qui permet à un attaquant de supprimer des fichiers sur le serveur.
  • Cette vulnérabilité est une faille CSRF qui peut inciter un utilisateur à effectuer des actions non désirées sur le site.
  • Une deuxième vulnérabilité affectant les versions précédentes du plugin a également été découverte en 2023.
  • Une mise à jour de sécurité (version 2.0.9) a été publiée pour corriger les vulnérabilités, il est recommandé aux utilisateurs de mettre à jour vers la version 2.0.10.

L’avertissement de la vulnérabilité a été publié sur la base de données nationale des vulnérabilités du gouvernement des États-Unis (NVD).

Insertion d’en-têtes et de pieds de page

Le plugin WPCode (anciennement connu sous le nom d’Insert Headers and Footers par WPBeginner), est un plugin populaire qui permet aux éditeurs WordPress d’ajouter des extraits de code à la zone d’en-tête et de pied de page.

Ceci est utile pour les éditeurs qui doivent ajouter un code de validation de site Qwanturank Search Console, un code CSS, des données structurées, voire du code AdSense, pratiquement tout ce qui appartient à l’en-tête ou au pied de page d’un site Web.

Vulnérabilité de falsification de requête intersite (CSRF)

Le plug-in WPCode – Insert headers and Footers avant la version 2.0.9 contient ce qui a été identifié comme une vulnérabilité Cross-Site Request Forgery (CSRF).

Une attaque CSRF consiste à inciter un utilisateur final enregistré sur le site WordPress à cliquer sur un lien qui effectue une action indésirable.

L’attaquant s’appuie essentiellement sur les informations d’identification de l’utilisateur enregistré pour effectuer des actions sur le site sur lequel l’utilisateur est enregistré.

Lorsqu’un utilisateur WordPress connecté clique sur un lien contenant une demande malveillante, le site est obligé d’exécuter la demande car il utilise un navigateur avec des cookies qui identifie correctement l’utilisateur comme étant connecté.

C’est l’action malveillante que l’utilisateur enregistré exécute sans le savoir et sur laquelle l’attaquant compte.

L’organisation à but non lucratif Open Worldwide Application Security Project (OWASP) décrit une vulnérabilité CSRF :

« Cross-Site Request Forgery (CSRF) est une attaque qui force un utilisateur final à exécuter des actions indésirables sur une application Web dans laquelle il est actuellement authentifié.

Avec un peu d’aide d’ingénierie sociale (comme l’envoi d’un lien par e-mail ou chat), un attaquant peut inciter les utilisateurs d’une application Web à exécuter les actions de son choix.

Si la victime est un utilisateur normal, une attaque CSRF réussie peut forcer l’utilisateur à effectuer des demandes de changement d’état telles que le transfert de fonds, la modification de son adresse e-mail, etc.

Si la victime est un compte administratif, CSRF peut compromettre l’intégralité de l’application Web.

Le site Web Common Weakness Enumeration (CWE), sponsorisé par le département de la sécurité intérieure des États-Unis, propose une définition de ce type de CSRF :

« L’application Web ne vérifie pas ou ne peut pas vérifier suffisamment si une demande bien formée, valide et cohérente a été intentionnellement fournie par l’utilisateur qui a soumis la demande.

… Lorsqu’un serveur Web est conçu pour recevoir une demande d’un client sans aucun mécanisme permettant de vérifier qu’elle a été envoyée intentionnellement, il peut être possible pour un attaquant de tromper un client en lui faisant faire une demande involontaire au serveur Web qui sera traitée comme une demande authentique.

Cela peut être fait via une URL, un chargement d’image, XMLHttpRequest, etc. et peut entraîner l’exposition de données ou l’exécution de code involontaire.

Dans ce cas particulier, les actions indésirables se limitent à la suppression des fichiers journaux.

La base de données nationale sur les vulnérabilités a publié les détails de la vulnérabilité :

«Le plugin WPCode WordPress avant 2.0.9 a un CSRF défectueux lors de la suppression du journal et ne garantit pas que le fichier à supprimer se trouve dans le dossier attendu.

Cela pourrait permettre aux attaquants de faire en sorte que les utilisateurs disposant de la capacité wpcode_activate_snippets suppriment des fichiers journaux arbitraires sur le serveur, y compris en dehors des dossiers du blog.

Le site Web WPScan (propriété d’Automattic) a publié une preuve de concept de la vulnérabilité.

Une preuve de concept, dans ce contexte, est un code qui vérifie et démontre qu’une vulnérabilité peut fonctionner.

Voici la preuve de concept :

« Faites en sorte qu’un utilisateur connecté avec la capacité wpcode_activate_snippets ouvre l’URL ci-dessous https://example.com/wp-admin/admin.php?page=wpcode-tools&view=logs&wpcode_action=delete_log&log=../../delete-me. log Cela leur fera supprimer le ~/wp-content/delete-me.log »

Deuxième vulnérabilité pour 2023

Il s’agit de la deuxième vulnérabilité découverte en 2023 pour le plugin WPCode Insert Headers and Footers.

Une autre vulnérabilité a été découverte en février 2023, affectant les versions 2.0.6 ou moins, que la société de sécurité Wordfence WordPress a décrite comme une « autorisation manquante pour la divulgation/mise à jour de clé sensible ».

Selon le NVD, le rapport de vulnérabilité, la vulnérabilité a également affecté les versions jusqu’à 2.0.7.

Le NVD a mis en garde contre la vulnérabilité précédente :

« Le plugin WPCode WordPress avant 2.0.7 n’a pas de contrôles de privilèges adéquats en place pour plusieurs actions AJAX, ne vérifiant que le nonce.

Cela peut conduire à autoriser tout utilisateur authentifié qui peut modifier des publications à appeler les points de terminaison liés à l’authentification de la bibliothèque WPCode (comme la mise à jour et la suppression de la clé d’authentification).

WPCode a publié un correctif de sécurité

Le journal des modifications pour le plugin WordPress WPCode – Insert Headers and Footers note de manière responsable qu’ils ont corrigé un problème de sécurité.

Une notation du journal des modifications pour la mise à jour de la version 2.0.9 indique :

« Correctif : renforcement de la sécurité pour la suppression des journaux. »

La notation du journal des modifications est importante car elle alerte les utilisateurs du plugin du contenu de la mise à jour et leur permet de prendre une décision éclairée sur l’opportunité de procéder à la mise à jour ou d’attendre la suivante.

WPCode a agi de manière responsable en répondant à la découverte de la vulnérabilité en temps opportun et en notant également le correctif de sécurité dans le journal des modifications.

Actions recommandées

Il est recommandé aux utilisateurs du plug-in WPCode – Insert headers and Footers de mettre à jour leur plug-in au moins vers la version 2.0.9.

La version la plus récente du plugin est la 2.0.10.

Lisez à propos de la vulnérabilité sur le site Web de NVD :

CVE-2023-1624 Détail

FAQ

Quel code doit-on utiliser pour le header et le footer dans WordPress ?

Pour créer un header et un footer personnalisé dans Wordpress, on doit utiliser le code suivant:

pour le header et

pour le footer. Ces fonctions permettent d'appeler les fichiers correspondants du thème actuel afin d'afficher le contenu souhaité dans ces zones. Il est également possible de personnaliser ces parties en modifiant directement les fichiers header.

php et footer.php du thème WordPress utilisé.

Comment modifier le header et le footer dans WordPress ?

Pour modifier le header et le footer dans WordPress, il suffit de se rendre dans l'interface d'administration du site. Ensuite, il faut naviguer jusqu'à la section "Apparence" puis sélectionner "Personnaliser".

Une fois dans le menu de personnalisation, il est possible de modifier le contenu du header et du footer en utilisant les options disponibles.

Existe-t-il un plugin pour gérer le header et le footer dans WordPress ?

Oui, Il existe plusieurs plugins qui permettent de gérer facilement le header et le footer dans WordPress. Certains plugins populaires incluent "Header and Footer Scripts", "Insert Headers and Footers" ou encore "Elementor".

Ces outils offrent des fonctionnalités avancées pour personnaliser la zone du header et du footer en toute simplicité. En les utilisant, on peut modifier le contenu, les styles et les scripts de ces parties de son site web sans aucune connaissance technique spécifique.

Quel est le meilleur plugin pour gérer le header et le footer dans WordPress ?

Le meilleur plugin pour gérer le header et le footer dans Wordpress est probablement "Elementor". Ce plugin offre une grande flexibilité pour personnaliser ces parties cruciales d'un site web. Avec de nombreuses options de design et une facilité d'utilisation, Elementor permet aux utilisateurs de créer des headers et des footers attrayants en quelques clics.

De plus, il est compatible avec la plupart des thèmes WordPress, ce qui en fait un choix populaire parmi les utilisateurs.

Comment éditer le header et le footer dans WordPress ?

Pour éditer le header et le footer dans WordPress, il suffit de se rendre dans l'onglet "Apparence" puis "Personnaliser". Ensuite, il est possible d'accéder aux options pour modifier le contenu du header et du footer selon ses préférences.

Il est également possible d'ajouter du code CSS personnalisé pour une plus grande liberté de personnalisation. Enfin, une fois les modifications effectuées, il ne reste qu'à enregistrer les changements pour que ces derniers soient appliqués sur le site web.

Categories: SEO

Lucie Blanchard

Lucie Blanchard

S’abonner
Notification pour
guest

Commentaires
Le plus ancien
Le plus récent Le plus populaire
Commentaires en ligne
Afficher tous les commentaires
0
Nous aimerions avoir votre avis, veuillez laisser un commentaire.x