Alerte rouge à tous les utilisateurs de WordPress ! Une faille de sécurité critique vient d’être découverte dans LiteSpeed Cache, un plugin ultra populaire installé sur plus de 6 millions de sites.
LiteSpeed Cache, censé booster les performances de votre site, s’est malheureusement transformé en cheval de Troie suite à la découverte d’une faille référencée sous le nom CVE-2024-47374. Il s’agit d’une vulnérabilité de type XSS (Cross-Site Scripting) stockée / non authentifiée.
Concrètement, cette faille permet à un attaquant d’injecter du code malveillant dans votre site sans même avoir besoin de s’authentifier. Plus inquiétant encore, une seule requête HTTP suffit pour exploiter cette vulnérabilité sur les millions de sites concernés.
La vulnérabilité a reçu un score CVSS de 7.1 sur 10, ce qui la classe dans la catégorie “HIGH” en termes de gravité.
Quels sont les risques ?
- Vol d’informations sensibles
- Redirections vers des sites malveillants
- Injection de publicités indésirables
- Possibilité d’escalade de privilèges
- Prise de contrôle totale de votre site
La faille provient d’un manque de sanitization et d’échappement des données utilisateur dans une fonctionnalité appelée “Vary Group“.
Plus précisément :
- Le plugin affiche une liste d’URLs en attente pour la génération de CSS unique.
- La fonctionnalité “Vary Group” est imprimée sur la page d’administration sans vérification.
- Un utilisateur peut fournir le “Vary Group” via un en-tête HTTP, qui est ensuite affiché sans sanitization.
En somme, WordPress laisse entrer tout le monde sans vérifier les identités, même le type louche avec une pancarte “Je suis un cyberpirate” sur le front !
Hébergement WordPress à prix accessible - L'Excellence Made in France
Profitez de l'offre exclusive de LWS : hébergement WordPress en France à -40% ! Démarrez dès maintenant à partir de 2,99€/mois au lieu de 4,99€. Performance 🚀 et support exceptionnel garantis ! 😊
La Solution : Mettez à jour immédiatement !
Une version corrigée du plugin LiteSpeed Cache (6.5.1) est désormais disponible. Nous vous recommandons de faire cette mise à jour sans attendre.
La bonne nouvelle est qu’un patch est disponible. Voici donc les actions à mener immédiatement :
- Mettez à jour vers la version 6.5.1 du plugin LiteSpeed Cache.
- Si vous êtes un développeur de plugin, pensez à appliquer un échappement et une sanitization à tous les messages affichés comme notifications d’administration en utilisant les fonctions WordPress appropriées :
sanitize_text_field(),esc_html(), etesc_attr()selon le contexte. - Appliquez des vérifications de permissions appropriées sur les points de terminaison des routes REST enregistrées.
Cette vulnérabilité rappelle l’importance, quand on utilise WordPress, de faire les mises à jour de ses plugins (ou de se passer de ces plugins, ce qui est, je trouve, encore mieux…).
Bref, n’attendez pas pour sécuriser votre site ! La mise à jour ne prend que quelques minutes…
Alternative gratuite à LiteSpeed et le plugin WordPress LiteSpeed cache
En alternative à LiteSpeed Cache, LWS recommande vivement LWS Optimize, une solution d’accélération des sites WordPress plus performante et sécurisée. Contrairement à LiteSpeed Cache, LWS Optimize repose sur Nginx, Memcached, et un cache optimisé, intégré avec Cloudflare, offrant ainsi :
- Une sécurité renforcée avec des données utilisateur bien protégées.
- Un boost de performances sans nécessiter de plugins tiers.
- Une gestion simplifiée qui optimise la mise en cache, compresse CSS/JS, et optimise régulièrement votre base de données WordPress.
Pour les utilisateurs de nos solutions d’hébergement LWS Boosté, LWS Optimize est déjà activé et gère automatiquement toutes ces optimisations, vous permettant de rester protégé tout en bénéficiant des meilleures performances.
N’attendez plus pour sécuriser et accélérer votre site WordPress avec LWS Optimize !
Sources :