Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Un exploit pour W3 Total Cache pour WordPress

Amis webmasters sous WordPress, attention si vous utilisez le plugin W3 Total Cache qui permet de mettre vos pages en cache et ainsi absorber plus facilement le trafic sur votre serveur. Une faiblesse au niveau de la configuration vient d’être découverte lorsque ce plugin est installé via la fonctionnalité « Ajouter un plugin » de WordPress. Cela permet de voir la liste des fichiers contenus dans ce cache, même quand au niveau serveur, le listing de répertoire est désactivé.

listing

Une simple recherche sur Google via un petit « inurl:wp-content/w3tc » permet de trouver quelques sites exposés, mais c’est surtout ce script qui permet d’exploiter un site utilisant W3 Total Cache. En effet, parmi ces fichiers, on trouve surtout les clés hashées de la base de données. Ce script permet de les récupérer très facilement.

w3-total-cache

Je vous laisse deviner la suite… un petit coup de John ou une petite recherche de hash sur Google, et hop, on obtient le mot de passe en clair. Ce problème touche apparemment de très nombreux sites, y compris de très gros sites connus.

Pour se protéger en attendant qu’un correctif soit mis à jour, il faut soit virer W3 Total Cache (et le contenu du cache), soit mettre un « deny from all » dans votre .htaccess pour ce répertoire.

Source


Bitdefender Total Security 120 jours pour vous faire un avis

Bloque les menaces Des millions d’utilisateurs utilisent les solutions de sécurité Bitdefender dans le monde. Bitdefender s’appuie sur une intelligence artificielle avancée ainsi que sur d’autres technologies révolutionnaires afin d’anticiper, de détecter et de bloquer instantanément les menaces mêmes les plus récentes, avant qu’elles ne puissent vous causer le moindre préjudice.

Sans ralentir vos appareils. Découvrez le potentiel complet de votre appareil numérique. Bitdefender utilise un minimum de ressources, tandis que nos outils d’optimisation peuvent améliorer le temps de démarrage et les performances globales de votre ordinateur.

Essayez Bitdefender gratuitement – 120 jours au lieu de 30 !

Partenaire

Les articles du moment