Importante faille de sécurité sur WordPress 4.7.4 et antérieure

WordPress se trouve constamment sous les feux des critiques concernant la sécurité de son script. En même temps, beaucoup de chercheurs travaillent sur cette plateforme représentant près d'un quart des sites web.

Aujourd'hui, il faudrait peut-être ajouté dans la liste Les 5 plus grandes vulnérabilités de WordPress une nouveauté : celle de l'interception des emails de récupération de mot de passe.

Dawid Golunski a relevé une vulnérabilité zero day (CVE-2017-8295) dans WordPress. "Wordpress dispose d’une fonction de réinitialisation de mot de passe victime d’une vulnérabilité qui pourrait, dans certains cas, permettre aux attaquants d’obtenir le lien de réinitialisation du mot de passe sans authentification antérieure". Voilà ce que ce chercheur a pu démontrer.

Le problème réside sur le fait que quiconque peut éditer à sa guise la variable SERVER_NAME. Avec des compétences de hackers, une personne mal intentionnée pourra ajouter des en-têtes d'expéditeurs et ainsi manipuler l'email de réinitialisation de mot de passe.

Une faille qui n'a pas encore été corrigée par WordPress

La faille n'est pas très récente. La communauté et les développeurs ont déjà signalé l'existence de cette faille depuis juillet 2016. Pourtant, aucune correctif n'a vu le jour jusqu'à maintenant. C'est la raison pour laquelle Dawid Golunski a décidé de dévoiler ce problème au grand public.

Voilà alors, en attente d'un patch fiable, une petite astuce a été suggérée. C'est le fait d'utiliser une variable SERVER_NAME statique, à configurer avec Apache. Donc peu de chances de le faire soi-même pour les abonnés en offre d'hébergements mutualisés, il faudra peut-être joindre manuellement votre hébergeur web.

Trois possibilités pour attaquer un site WordPress

Voilà alors les trois scénarios possibles pour attaquer un site WordPress.

Ces méthodes sont à titre informatif. Le site lean.fr ne pourra pas être tenu responsable d'une quelconque application de ces méthodes.

• Lancer une attaque DoS sur le compte email de sa victime. Le message de réinitialisation n'arrive pas sur la boîte email du propriétaire mais est renvoyé sur l'email de l'attaquant.


• Similaire à la première méthode, mais en utilisant certains systèmes de réponses pour joindre la copie sur l'email de l'attaquant.


• La victime baisse sa garde et répond à l'email de réinitialisation (par curiosité, ou étonnement). Voilà que le lien de réinitialisation se joint à l'email de l'attaquant en quelques faux pas.

En tout cas, cette découverte sème le doute sur le fait que se procurer de WordPress 4.7.4 soit une bonne idée.

Si vous disposez d'un blog ou d'un site WordPress, nous vous conseillons de faire un arrêt sur notre prochain article : Comment sécuriser votre site WordPress sans plug-in?

Sinon, vous pouvez toujours contacter un professionnel.