Faille dans le plugin W3 Total Cache de WordPress

Si vous utilisez le plugin WordPress W3 Total Cache sur votre blog, lisez la suite car votre site pourrait bien avoir une faille de sécurité relativement importante.

Un exploit aurait été découvert pour le plugin W3 Total Cache. Cette faille apparaît lorsque le plugin est installé via l’outil d’ajout automatique de plugin et elle permet d’avoir accès aux fichiers en cache.

W3 Total Cache

Une simple recherche avec le terme « inurl:wp-content/w3tc » vous permettra de trouver un bon nombre de sites exposés à cet exploit. Mais, à part le fait qu’un internaute peut accéder à des fichiers en cache, qu’y a-t-il de si dangereux me demanderez-vous ?

Et bien, parmi les fichiers accessibles, il y a notamment les hash des clés de la base de données ! Un script, nommé W3 Total Fail, qui est d’ores-et-déjà dispo, vous permet de récupérer ces fameux hash. Ensuite, n’importe quel pirate débutant pourra s’amuser à déchiffrer ces hash

En attendant qu’un patch correctif soit publié par l’éditeur de W3 Total Cache, vous avez 2 possibilités: désactiver le plugin (sans oublier de supprimer les fichiers de la cache !) ou mettre un « deny from all » dans votre .htaccess pour le répertoire de cache.

W3 Total Fail
[Source: Korben]
Pyo

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Notifiez-moi des commentaires à venir via email. Vous pouvez aussi vous abonner sans commenter.