Ce que cette vulnérabilité signifie pour votre site
Bien qu’une preuve de concept complète n’ait pas encore été publiée par WPScan, nous pouvons faire des suppositions éclairées sur la façon dont cette vulnérabilité peut être exploitée. Ils déclarent :
« WordPress est affecté par un SSRF aveugle non authentifié dans la fonction de pingback. En raison d’une condition de course TOCTOU entre les contrôles de validation et la demande HTTP, les attaquants peuvent atteindre des hôtes internes qui sont explicitement interdits. »
Pour exploiter cette vulnérabilité, un attaquant utiliserait des pingbacks WordPress, mais serait forcé de le faire en combinaison avec d’autres vulnérabilités.
Afin d’exploiter une vulnérabilité comme celle-ci pour faire tout type de dommage à un site WordPress, cette vulnérabilité ne serait utile que si elle était utilisée avec d’autres vulnérabilités plus graves sur un site WordPress non corrigé ou non sécurisé.
Officiellement, l’équipe de sécurité de WordPress.org a déclaré qu’il s’agissait d’une vulnérabilité à faible priorité. Plus précisément, ils ont dit au Daily Swig :
“…Il s’agit d’un problème à faible impact et son exploitation nécessite « [enchaîner] à des vulnérabilités supplémentaires dans des logiciels tiers ». En tant que tel, l’équipe de sécurité considère la question comme une faible priorité. »
Ils ont ajouté : « En raison de sa faible gravité, l’équipe discute de la question de savoir si cette question pourrait être résolu en public en tant que mesure de durcissement général. »
Cela souligne la difficulté d’ajouter des correctifs de sécurité à tant d’anciennes versions de WordPress. Pendant des années, l’équipe de base a rétroporté les correctifs vers des versions vieilles de nombreuses années et qui n’ont été utilisées que par quelques sites de retardataires qui n’avaient pas encore été mis à jour. La récente décision de l’équipe de base de ne plus rétroporter les anciennes versions rendra la résolution de ces types de problèmes plus facile et plus rapide pour l’équipe de base de WordPress.
Comment protéger votre site
Les pingbacks étant le point faible évident discuté, la désactivation des pingbacks et/ou XML-RPC est une excellente première étape.
Si vous gardez votre site WordPress à jour et que vous êtes sur un hébergement fiable avec une infrastructure solide et sécurisée, la probabilité d’exploitation en utilisant cette vulnérabilité est extrêmement faible.
Si vous cherchez à garder votre site aussi sécurisé que possible, la meilleure option est de désactiver les pingbacks ou XML-RPC. Heureusement, iThemes Security vous donne la possibilité de faire les deux.
Comment désactiver XML-RPC à l’aide d’iThemes Security
Désactiver XML-RPC à l’aide d’iThemes Security est incroyablement facile. Allez dans Sécurité > Paramètres > Avancé > Ajustements WordPress, puis utilisez la liste déroulante pour désactiver XML-RPC.
Il peut y avoir des cas où vous avez besoin de XML-RPC. Il s’agit notamment de :
Si vous avez un ancien site Web que vous ne pouvez pas mettre à jour vers la version 4.4 ou supérieure, vous n’avez pas accès à l’API REST et vous utilisez peut-être des services qui nécessitent XML-RPC.
Vous utilisez un programme qui ne peut pas accéder à l’API REST pour communiquer avec votre site Web.
Intégration avec certaines applications tierces qui ne peuvent utiliser que XML-RPC.
Désactiver XML-RPC est un processus simple avec iThemes Security. Vous pouvez désactiver cela et tester la fonctionnalité de votre site et si quelque chose semble ne pas fonctionner correctement, vous pouvez le réactiver.
Cette vulnérabilité, bien que non corrigée, pose un très léger risque pour les propriétaires de sites WordPress. Si le XML-RPC est déjà désactivé sur votre site, vous êtes déjà protégé. Les pingbacks sont l’une des fonctionnalités héritées de WordPress qui peut être utile dans certains cas, cependant, il ne s’agit pas d’une fonctionnalité utilisée par de nombreux sites Web modernes. C’est l’un des cas où il est utile d’avoir un plugin de sécurité comme iThemes Security installé afin que vous puissiez prendre rapidement des mesures lorsque vous le pouvez pour durcir votre site contre les attaquants, même si la vulnérabilité en question est de faible gravité.
ÉCRIT PAR L’ÉQUIPE ÉDITORIALE D’ITHÈMES LE 14 DÉCEMBRE 2022
Dernière mise à jour le 14 décembre 2022
La maintenance de votre site WordPress permet des mises à jour régulières afin d’éviter les bugs et les problèmes de piratage.
Nous solutions de maintenance WordPress à partir de 49€ ht/ mois