Wordpress pour débutant » Custom Contact Forms : Danger pour votre site WordPress
Wordpress pour débutant

tutoriel, hacks, astuces, information…

Custom Contact Forms : Danger pour votre site WordPress

Catégorie de l'article : Plugins , Sécurité
Article Publié le : 9 août 2014
Article affiché 5799 fois
il y a 4 Commentaires

Custom Contact Forms : une faille de sécurité dans le plugin

Custom Contact Forms contiendrait une faille de sécurité, qui pourrait permettre à des hackers de pirater votre site WordPress.

Le plugin Custom Contact Forms permet de gérer des formulaires de contact comme l’indique son nom.

La société de sécurité Sucuri annonce qu’une faille a été découverte dans le plugin.

Cette faille permettrait à un hacker d’avoir accès à votre base de données, de créer un nouvel utilisateur, avec les droits d’administrateurs.

Le hacker n’a plus qu’à se connecter sur votre site et faire ce qu’il veut.

La société Sucuri a contacté il y a plusieurs semaines, les développeurs du plugin Custom Contact Forms,  qui n’ont pas réagi.

La société de sécurité a alors contacté l’équipe de sécurité de WordPress qui est intervenu auprès des développeurs.

 

Qui est concerné ?

Tous les webmasters qui utilisent le plugin Custom Contact Forms dans la version 5.1.0.3 ou inférieur. Ce plugin a été télécharger plus de 600 000 fois, ce qui indique qu’il doit être installé par de nombreux webmasters et qu’il doit se trouver sur pas mal de site WordPress.

 

Comment se protéger ?

Sécurité WordPress

Les développeurs ont sortis un patch de sécurité, la version 5.1.0.4. Si vous utilisez le plugin Custom Contact Forms, il vous est fortement conseillé d’installé cette mise à jour.

La société Sucuri conseille aux utilisateurs de changer de plugin et de choisir, par exemple, le plugin JetPack ou Gravity Forms.

Cette recommandation est faite suite au comportement de l’équipe de développement, qui au courant d’une faille, n’a rien fait. Il aura fallu l’intervention de l’équipe de WordPress pour que l’équipe de Custom Contact Forms sorte un patch de sécurité.

Vous trouverez plus d’informations sur le blog de la société Sucuri :  http://blog.sucuri.net/2014/08/database-takeover-in-custom-contact-forms.html

 

A propos de l'auteur :

Philippe est le webmaster du site wordpress.buldozer.fr - Wordpress pour les débutants. Philippe n'est pas un professionnel de l'informatique, mais juste un passionné.

a écrit 61 articles.





4 commentaires dans Custom Contact Forms : Danger pour votre site WordPress

  1. Bruno TRITSCH dit :
    9 août 2014 à 21:16

    Salut Philippe,

    J’avais été averti par mon hébergeur de cette faille de sécurité, mais comme je n’utilise que le service de formulaires de contact de Jetpack, je ne m’en étais pas inquiéter.
    Alors je dois te remercier de m’en avoir dit plus, cela me permettra d’avertir les éventuels clients qui utiliseraient ce plugin.

    Amicalement,

    Bruno

    Répondre
    • philippe dit :
      10 août 2014 à 09:35

      Salut Bruno,
      je n’utilise pas non plus ce plugin. Mais beaucoup de webmasters semble l’utiliser, c’est pour cela que j’ai fait ce petit article, comme on dit, on ne sait jamais

      Répondre
  2. Herve dit :
    7 mars 2016 à 19:10

    Bonjour,
    Je viens d’installer la Version 7.7 de Custom Contact Forms
    Est-ce que le risque est toujours d’actualité ?
    Dans l’attente de vous lire
    Cordialement

    Répondre
    • philippe dit :
      8 mars 2016 à 21:39

      Bonjour,
      la faille a été corrigée à la version 5.1.0.4.
      Il faut savoir que chaque version comporte potentiellement une ou plusieurs failles de sécurité, qui sont corrigées dans la version suivante, qui peut apporter une nouvelle faille :o)

      Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

  • Catégories

  • Les derniers articles

  • Divers