Wordpress est une solution extrêmement populaire sur le web et c’est sans doute ce qui explique pourquoi elle est souvent la cible des pirates et hackers de tout poil. Les experts de Sucuri viennent d’ailleurs de détecter une nouvelle vulnérabilité critique. Cette fois, ce n’est pas le CMS qui est en cause mais un plugin extrêmement populaire : Custom Content Type Manager.
Comme son nom l’indique, cet outil est utilisé pour créer facilement des custom post types et donc des contenus dotés d’un affichage personnalisé.
Il n’est pas le seul à proposer ce genre de fonctions mais il s’est taillé une solide réputation auprès des utilisateurs et il a ainsi été installé sur plus de 10 000 sites différents.
Custom Content Type Manager est installé sur plus de 10 000 sites à l’heure actuelle
Cela veut aussi dire qu’il y a désormais un peu plus de 10 000 sites vulnérables sur la toile.
A la base, tout est parti d’un ticket ouvert par un client de Sucuri, un ticket portant sur un site infecté. En le nettoyant, les experts de l’agence sont tombés sur un fichier auto-update.php placé dans le dossier wp-content/plugins/custom-content-type-manager.
Ils l’ont ouvert et ils se sont alors rendus compte que ce fameux fichier était en réalité une porte dérobée capable de télécharger des fichiers en provenance d’un domaine assez bizarre.
De les télécharger, mais aussi de les envoyer directement dans le répertoire des plugins.
N’écoutant que leur courage, ils ont décidé de creuser un peu et de regarder tous les changements effectués au plugin. Là, ils ont découvert que le fichier auto-update.php avait ajouté à l’extension le 18 février dernier.
Etrange, mais ce n’est pas fini car l’outil a aussi changé de propriétaire à cette date… Il appartient désormais à un internaute officiant sous le pseudo “wooranker”.
Le plugin est très bien noté par les utilisateurs
En poursuivant leurs investigations, nos braves experts ont aussi pu déterminer que le plugin n’avait pas été mis à jour pendant plusieurs mois avant qu’il ne change de propriétaire. Il est donc possible qu’il ait été délibérément revendu par son ancien développeur.
Mais ce n’est pas terminé car ils ont aussi trouvé un autre fichier qui a été ajouté à l’extension dans la foulée : CCTM_Communicator.php.
Quelle est son utilité ? Simple, il ajoute un morceau de code au fichier index.php du plugin, un morceau de code assez… problématique. Il transmet effectivement à un serveur distant les identifiants de toutes les personnes se connectant au site sur lequel est installée l’extension.
En d’autres termes, si vous utilisez ce plugin sur votre site ou sur votre blog, alors il est préférable de le supprimer tout de suite et de changer tous les mots de passe de vos rédacteurs dans la foulée.
Si vous voulez en savoir plus sur l’enquête menée par Sucuri, alors vous pouvez vous rendre sur cette page.
Maintenant, cette histoire prouve une fois de plus à quel point il est indispensable de faire très attention aux plugins, y compris à ceux qui sont diffusés par le biais de la plateforme de Wordpress.