slider revolution : Une très grosse faille de sécurité

Une très grosse faille de sécurité dans le plugin slider revolution a été dévoilée.

Cette faille permet à une personne mal intentionnée de pouvoir télécharger le fichier wp-config. Vous n’êtes pas sans savoir que ce fichier contient les informations pour se connecter à votre base de données.

Quelles sont les sites WordPress impactés ?

Les sites WordPress qui utilisent un thème avec slider revolution ou qui utilisent le plugin slider revolution.

Cette faille a été corrigée dans le plugin, version payante. Si vous utilisez la version payante que vous avez télécharger sur le site : http://codecanyon.net/item/slider-revolution-responsive-wordpress-plugin/2751380 et vous avez la correction 4.2, vous êtes protégé.

Mais le problème le plus grave, c’est que ce plugin se retrouve dans beaucoup de thèmes qui sont vendus sur le net. Plusieurs éditeurs connus ne vont pas forcement installés la dernière version

Les éditeurs des thèmes n’informent pas forcément les utilisateurs que le plugin slider revolution est installé dans le thème.

La plupart de ces thèmes ne sont pas à jour.

Si vous utilisez un thème qui n’est pas à jour, vous prenez le risque de vous faire pirater.

Se protéger de la faille de sécurité du plugin slider revolution

Comment savoir si je suis impacté par la faille du plugin slider revolution ?

Vous vous demandez si vous êtes vulnérable ou pas.

Il y a une commande à taper dans la barre du navigateur, pour savoir si vous êtes vulnérables :

http://votre-site/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

Il faut remplacer votre site, par l’adresse de votre blog WordPress.

Si vous êtes vulnérables, le navigateur va vous proposer de télécharger le fichier wp-config sur votre ordinateur.

Une fois en possession du fichier, vous pouvez vous connecter sur la base de données et faire ce que vous voulez.

Vous trouverez plus d’informations (en anglais) sur le blog : http://blog.sucuri.net/2014/09/slider-revolution-plugin-critical-vulnerability-being-exploited.html.

Le plugin Worfence, dans sa dernière version, protège le site réalisé sous wordpress de cette faille : https://wordpress.org/plugins/wordfence/

Si vous rentrez la ligne de commande, le site vous blackliste directement et vous affiche une page comme quoi vous avez essayé d’utiliser le hack slider revolution.

Voici un exemple :

Your access to this site has been limited

Your access to this service has been temporarily limited. Please try again in a few minutes. (HTTP response code 503)

Reason: URL not allowed. Slider Revolution Hack attempt detected. #2

Important note for site admins: If you are the administrator of this website note that your access has been limited because you broke one of the Wordfence firewall rules. The reason you access was limited is: « URL not allowed. Slider Revolution Hack attempt detected. #2 ».

If this is a false positive, meaning that your access to your own site has been limited incorrectly, then you will need to regain access to your site, go to the Wordfence « options » page, go to the section for Firewall Rules and disable the rule that caused you to be blocked. For example, if you were blocked because it was detected that you are a fake Google crawler, then disable the rule that blocks fake google crawlers. Or if you were blocked because you were accessing your site too quickly, then increase the number of accesses allowed per minute.

If you’re still having trouble, then simply disable the Wordfence firewall and you will still benefit from the other security features that Wordfence provides.

If you are a site administrator and have been accidentally locked out, please enter your email in the box below and click « Send ». If the email address you enter belongs to a known site administrator or someone set to receive Wordfence alerts, we will send you an email to help you regain access.