L’équipe de Wordfence (plugin de sécurité WordPress) a identifié, il a quelques jours, plusieurs failles de sécurité critiques au sein du plugin Total Donation. Ce plugin permet aux visiteurs de faire des dons via des campagnes. Des attaquants peuvent malheureusement exploiter les failles de sécurité constatées afin d’obtenir des privilèges administrateur sur les sites WordPress.
Toutes les versions du plugin sont potentiellement impactées et il semble vain d’espérer une mise à jour. En effet, le plugin n’est plus disponible en téléchargement sur la plupart des plateformes. La solution qui s’offre aux administrateurs WordPress est donc la suppression du plugin (pas juste une désactivation).
L’analyse complète de Wordfence est disponible dans cet article.