Je vous ai dernièrement parlé de l’importance de faire régulièrement les mises à jour de son WordPress, de ses thèmes et de ses extensions dans cet article.

Eh bien aujourd’hui, nous allons voir un cas concret d’extension présentant une faille de sécurité permettant à d’éventuels pirates d’enregistrer n’importe fichier sur votre hébergement.

Présentation du plugin WP Download Manager

Je ne vais pas m’étaler sur le plugin WordPress Download Manager car ce n’est pas vraiment l’objet de cet article, mais sachez qu’il vous permet de proposer sur votre site web des fichiers au téléchargement.

Ainsi, vous pourrez offrir gracieusement, ou non, des documents à vos lecteurs et vous pourrez même les réserver qu’au personne disposant du code que vous aurez préalablement paramétré.

Enfin, sachez que cette extension WordPress gratuite vous permet de paramétrer de beaux boutons de téléchargement intégrant la taille des fichiers à télécharger selon plusieurs schémas (voir ci-dessus).

Quelle est la faille de sécurité concernant WP Download Manager?

C’est le plugin WordFence Security qui m’a prévenu de cette grave faille de sécurité par mail dès que son équipe a été au courant du problème.

J’utilise cette extension sur mes sites depuis que Samuel Badjagou me l’a conseillé dans l’article que j’ai mis en lien sous le nom de cette extension qui est devenue aujourd’hui un des incontournables plugins à installer sur tout WordPress.

Pour en revenir au problème de l’extension WP Download Manager, il est tout simple: n’importe quelle personne mal intentionnée peut véroler votre site sous WordPress avec du code malicieux si vous n’avez pas la dernière version, à savoir la 2.7.5.

Vous trouverez tous les détails dans cet article publié sur le blog de WordFence Security.

Que faire pour prémunir son WordPress contre cette faille de sécurité?

N’avez-vous pas une petite idée de ce qu’il faut faire pour prémunir votre WordPress contre cette faille de sécurité s’il utilise l’extension WP Download Manager?

Bon allez, je ne vais pas vous faire attendre plus longtemps: il vous suffit tout simplement de faire la mise à jour du plugin puisque l’équipe de développement de WP Download Manager a été très réactive suive à la découverte de cette vilaine faille de sécurité.

Elle a en effet aussitôt sorti une nouvelle version de l’extension dans laquelle la faille de sécurité a été éliminée, préservant ainsi l’intégrité de votre site.

Conclusion

Je me permets donc de conclure en insistant une fois de plus sur l’extrême importance de bien toujours faire ses mises à jour WordPress et sur l’intérêt de limiter autant que possible le nombre d’extensions  installées et utilisées, comme je le conseille dans les formations WordPress que je dispense dans la Marne et les Ardennes.

En effet, plus vous installez et utilisez de plugins sur votre WP, plus vous risquez que ce dernier présente des failles de sécurité et donc plus il sera vulnérable.

D’ailleurs, j’ai moi-même entamé une vaste réflexion sur la réduction drastique d’extensions sur mes sites web afin de limiter au maximum la probabilité d’incident.

Pour finir, pensez également à sécuriser au maximum votre site internet (je publierai prochainement un article à ce sujet et je viendrai mettre son lien ici), notamment en utilisant un plugin comme WordFence.

Si vous avez trouvé une faute d’orthographe ou une coquille, vous pouvez m’en informer en sélectionnant le texte en question et en appuyant sur Ctrl + Entrée. Je vous en remercie par avance.