Wordpress: Une faille 0 Day comblée, Réactions à la publication du 28/04/2015

[Lionel]

Hier, une faille 0 day dans Wordpress a été dévoilée. Elle permettait à distance de prendre le contrôle des sites et de les compromettre.
Un correctif de sécurité est déjà disponible et comble cette faille. Il est donc urgent à tous ceux qui ont un site utilisant Wordpress de le mettre à jour au plus vite.


Wordpress, comme Flash ou Java est devenu une cible privilégiée des pirates cherchant des failles. Il risque d'y avoir pendant des mois des problèmes le temps que le code soit expurgé de ses défauts dévoilés presque quotidiennement.
Lien vers le billet original

[Sardequin]

Correctif envoyé hier en fin d’après-midi, mise à jour faite dans la foulée sur mon blog. Les mises à jour de sécurité s’appliquent automatiquement normalement.

[PoneyBoy]

Je confirme, il t'envoie un mail pour te prévenir qu'il s'est mis à jour.

[GhisDiem]

C'est pas inclus dans le code des templates utilisés ?
La mise à jour de mes sites s'est faite automatiquement, mais un mail de Wordpress disait qu'ils prévenaient les développeurs de template…
Alors, faille comblée ou pas ?

Ce message a été modifié par GhisDiem - 28 Apr 2015, 08:12.

[PoneyBoy]

Ah c'est curieux je viens de regarder le mail que j'ai reçu, il ne dit pas ça.

Dans mon cas c'est le blog lui-même qui a envoyé le mail.

[Macafond]

la version francaise n'est pas dispo ?? (moi j'ai désactivé les MAJ auto, pour éviter d'avoir une incompatibilité avec une éventuelle extension, et que cela fasse le bordel sur le site)

[Jedge]

Je confirme, il t'envoie un mail pour te prévenir qu'il s'est mis à jour.

idem 2 sites ok, un 3eme à faire à la main sans raison apparente

[PoneyBoy]

Peut-être ce dernier n'a-t-il pas le Jetpack?

[macuserfr]

Bonjour,

Quelqu'un sait me dire si la version 3.6 de Wordpress est vulnerable à cette faille? Je sais que ça date un peu, mais je dois utiliser cette version précise dans un projet utilisant une base de données PostgreSQL (et pas MySQL). Il y a un driver de conversion de code MySQL -> PostgreSQL testé et marchant bien sur cette version de Wordpress mais incompatible avec les versions plus récentes.

Merci d'avance!

[ziggyspider]

la version francaise n'est pas dispo ?? (moi j'ai désactivé les MAJ auto, pour éviter d'avoir une incompatibilité avec une éventuelle extension, et que cela fasse le bordel sur le site)

la version 4.2.1 est dispo en français aussi. Il suffit de se rendre sur Wordpress France

[iAPX]

Je confirme, il t'envoie un mail pour te prévenir qu'il s'est mis à jour.

idem 2 sites ok, un 3eme à faire à la main sans raison apparente

De mon expérience et de ceux qui m'entourent, ceux qui exploitent les failles les comblent eux-même quand ils peuvent une fois qu'ils ont laissé leur payload et ouvert une porte dérobée

Ne *PAS* faire confiance si quelque-chose ne se passe pas comme prévu, comme si le site ne se mettait pas à jour correctement ou que la faille ne soit plus présente alors qu'elle devrait l'être. De toute façon le système de commentaire de WordPress est dans le top 3 des problèmes avec /wp-login.php et /xmlrpc.php ...

[Samirdu91]

Encore une faille wordpress certains utilisateur ne feront pas la mise à jour donc des sites sont encore en danger ^^

[Jedge]

Je confirme, il t'envoie un mail pour te prévenir qu'il s'est mis à jour.

idem 2 sites ok, un 3eme à faire à la main sans raison apparente

De mon expérience et de ceux qui m'entourent, ceux qui exploitent les failles les comblent eux-même quand ils peuvent une fois qu'ils ont laissé leur payload et ouvert une porte dérobée

Ne *PAS* faire confiance si quelque-chose ne se passe pas comme prévu, comme si le site ne se mettait pas à jour correctement ou que la faille ne soit plus présente alors qu'elle devrait l'être. De toute façon le système de commentaire de WordPress est dans le top 3 des problèmes avec /wp-login.php et /xmlrpc.php ...

J'ai vérifié et c'est la précédente MAJ qui s'est faite en automatique, la dernière attendait ma validation.
Donc au passage j'ai fais les mise à jour sur tous les sites que j'administre, et les commentaires ne sont ouvert que sur un seul site dans le lot, ça me donne moins de boulot

[PoneyBoy]

Encore une faille wordpress certains utilisateur ne feront pas la mise à jour donc des sites sont encore en danger ^^

C'est la vie...

[yponomeute]

Sur un site en prod, la précaution minimale c'est d'avoir les fichiers versionnés (git, svn...). Sans ça impossible de repérer ce qui a été modifié à notre insu.

[Samirdu91]

Sur wordpress il y a beaucoup de faille sortir

[Macafond]

la version francaise n'est pas dispo ?? (moi j'ai désactivé les MAJ auto, pour éviter d'avoir une incompatibilité avec une éventuelle extension, et que cela fasse le bordel sur le site)

la version 4.2.1 est dispo en français aussi. Il suffit de se rendre sur Wordpress France

merci ! ah oui maintenant elle apparait effectivement sur le "tableau de bord" ce qui n'était pas le cas avant, seulement les US !

[iAPX]

Je confirme, il t'envoie un mail pour te prévenir qu'il s'est mis à jour.

idem 2 sites ok, un 3eme à faire à la main sans raison apparente

De mon expérience et de ceux qui m'entourent, ceux qui exploitent les failles les comblent eux-même quand ils peuvent une fois qu'ils ont laissé leur payload et ouvert une porte dérobée

Ne *PAS* faire confiance si quelque-chose ne se passe pas comme prévu, comme si le site ne se mettait pas à jour correctement ou que la faille ne soit plus présente alors qu'elle devrait l'être. De toute façon le système de commentaire de WordPress est dans le top 3 des problèmes avec /wp-login.php et /xmlrpc.php ...

J'ai vérifié et c'est la précédente MAJ qui s'est faite en automatique, la dernière attendait ma validation.
Donc au passage j'ai fais les mise à jour sur tous les sites que j'administre, et les commentaires ne sont ouvert que sur un seul site dans le lot, ça me donne moins de boulot

Moi j'ai coupé les commentaires sur mes blogs, de toute façon pour le crap qui s'accumulait dedans c'était inutile, et je dois en installer un pour ma moitié, et dans les conditions c'est: pas de theme acheté ou "trouvé", pas de plug-in, pas de commentaires, pas d'accès xml-rpc, et une procédure spéciale pour se connecter (évite d'etre attaqué tout le temps en attaque par force-brute sur wp-login!). Chiant mais ça me simplifie!

[CAMEO172]

Je confirme, il t'envoie un mail pour te prévenir qu'il s'est mis à jour.

idem 2 sites ok, un 3eme à faire à la main sans raison apparente

De mon expérience et de ceux qui m'entourent, ceux qui exploitent les failles les comblent eux-même quand ils peuvent une fois qu'ils ont laissé leur payload et ouvert une porte dérobée

Ne *PAS* faire confiance si quelque-chose ne se passe pas comme prévu, comme si le site ne se mettait pas à jour correctement ou que la faille ne soit plus présente alors qu'elle devrait l'être. De toute façon le système de commentaire de WordPress est dans le top 3 des problèmes avec /wp-login.php et /xmlrpc.php ...

J'ai vérifié et c'est la précédente MAJ qui s'est faite en automatique, la dernière attendait ma validation.
Donc au passage j'ai fais les mise à jour sur tous les sites que j'administre, et les commentaires ne sont ouvert que sur un seul site dans le lot, ça me donne moins de boulot

Moi j'ai coupé les commentaires sur mes blogs, de toute façon pour le crap qui s'accumulait dedans c'était inutile, et je dois en installer un pour ma moitié, et dans les conditions c'est: pas de theme acheté ou "trouvé", pas de plug-in, pas de commentaires, pas d'accès xml-rpc, et une procédure spéciale pour se connecter (évite d'etre attaqué tout le temps en attaque par force-brute sur wp-login!). Chiant mais ça me simplifie!

mouais, le mien vit sa vie sans soucis avec les commentaires ouverts et sans validation administrateur.. askimet me fait le ménage sans soucis.
mais probable que ce site ne soit jamais lu/vu..

[apenSPEL]

[…] le top 3 des problèmes avec /wp-login.php et /xmlrpc.php ...

Pour moi ce ne sont que des avantages : dans les logs d'un autre CMS je voyais tellement de tentatives concernant Wordpress et ses fichiers inexistants que j'ai mis en place un système pour bannir les bots qui tentent d'y avoir accès. C'est trop cool, les hackers se dénoncent eux-mêmes et s'éjectent automatiquement. Dingue quand je pense au temps perdu auparavant à les dénoncer à leurs hébergeurs.

[pacoul]

On est d'accord que ces failles ne concernent "que" les wordpress.org ? Sur mon blog Wordpress.com, j'ai cette notification:
"Akismet is protecting all WordPress.com sites against the Zero Day XSS vulnerability."

[iAPX]

On est d'accord que ces failles ne concernent "que" les wordpress.org ? Sur mon blog Wordpress.com, j'ai cette notification:
"Akismet is protecting all WordPress.com sites against the Zero Day XSS vulnerability."

Cette faille concerne surtout ceux qui ne sont pas hébergés sur wordpress.org ou wordpress.com, ces deux sites et leur base de code étant très bien maintenu!

WordPress s'utilise aussi en l'installant sur son propre serveur (ou pire un serveur mutualisé, à éviter absolument pour des raisons de sécurité!!!), et dans ce cas il est rarement bien maintenu, notamment lorsqu'on a modifié ou fait modifier un thême pour avoir une présentation "perso".

[…] le top 3 des problèmes avec /wp-login.php et /xmlrpc.php ...

Pour moi ce ne sont que des avantages : dans les logs d'un autre CMS je voyais tellement de tentatives concernant Wordpress et ses fichiers inexistants que j'ai mis en place un système pour bannir les bots qui tentent d'y avoir accès. C'est trop cool, les hackers se dénoncent eux-mêmes et s'éjectent automatiquement. Dingue quand je pense au temps perdu auparavant à les dénoncer à leurs hébergeurs.

J'ai fait des analyses de mes logs, pour ça que je protège wp-login et xmlrpc, et que je n'installe pas de plug-ins

Il faudrait d'ailleurs que je fasse quelques articles là-dessus sur mon blog PHP!

[apenSPEL]

[…]
J'ai fait des analyses de mes logs, pour ça que je protège wp-login et xmlrpc, et que je n'installe pas de plug-ins

Il faudrait d'ailleurs que je fasse quelques articles là-dessus sur mon blog PHP!

Oui ben, les plugins sont vachement intéressants pour la sécurité justement. D'ailleurs, akismet c'est pas un plugin ? J'ai des plugin de chiffrement, anti brute force, anti injection, qui journalisent les intrus, etc. Sans ça, sans quelques bons .htaccess dans des dossiers stratégiques et sans quelques ficelles de configuration, autant ne pas tenter de faire un site.

[GhisDiem]

Tiens, j'avais reçu plusieurs mail, un pour la mise à jour automatique et un de Wordpress qui prévenait de la vulnérabilité…
En fait, je me demande si ce n'est pas ThemForest qui m'a prévenue… Un des templates que j'utilise pour mon association vient de chez eux…

Bref, en allant sur l'admin dudit site, encore une mise à jour de sécurité à faire… Donc, ne pas se contenter sur ce coup-ci de la mise à jour automatique…

[Jedge]

Tiens, j'avais reçu plusieurs mail, un pour la mise à jour automatique et un de Wordpress qui prévenait de la vulnérabilité…
En fait, je me demande si ce n'est pas ThemForest qui m'a prévenue… Un des templates que j'utilise pour mon association vient de chez eux…

Bref, en allant sur l'admin dudit site, encore une mise à jour de sécurité à faire… Donc, ne pas se contenter sur ce coup-ci de la mise à jour automatique…

J'ai reçu hier soir le mail de ThemForest !

[pacoul]

On est d'accord que ces failles ne concernent "que" les wordpress.org ? Sur mon blog Wordpress.com, j'ai cette notification:
"Akismet is protecting all WordPress.com sites against the Zero Day XSS vulnerability."

Cette faille concerne surtout ceux qui ne sont pas hébergés sur wordpress.org ou wordpress.com, ces deux sites et leur base de code étant très bien maintenu!

WordPress s'utilise aussi en l'installant sur son propre serveur (ou pire un serveur mutualisé, à éviter absolument pour des raisons de sécurité!!!), et dans ce cas il est rarement bien maintenu, notamment lorsqu'on a modifié ou fait modifier un thême pour avoir une présentation "perso".

Ok, merci pour tes explications !