Vulnérabilité dans W3 Total Cache v0.9.2.4

Vulnérabilité dans W3 Total Cache v0.9.2.4


Présentation

Recommandé par des hébergeurs web comme : MediaTemple, Host Gator, Page.ly et WP Engine et bien plus. Mis en confiance par d’innombrables sites comme : stevesouders.com, mattcutts.com, mashable.com, smashingmagazine.com, makeuseof.com, yoast.com, kiss925.com, pearsonified.com, lockergnome.com, johnchow.com, ilovetypography.com, webdesignerdepot.com, css-tricks.com et des dizaines de milliers d’autres. 6186562 téléchargements … je vous parle du plugin WordPress « W3 Total Cache« .

Aujourd’hui

Ce célèbre plugin « W3 Total Cache » vient de faire un « Total Fail ». Une faille vient d’être découverte permettant de lire le contenu des requêtes mises en cache et donc de trouver des couples login/pass (hashés) par exemple. Cette faille appelée « Full Disclosure » ressemble presque à une injection SQL mais n’en est pas une. Cependant, la faille permettant de lire toutes les requêtes effectuées sur votre site, cela donne déjà trop d’informations aux pirates.

Demain

Aucun patch officiel n’est sorti, par contre un script existe et tourne entre les mains des pirates, vous pourriez devenir la cible, demain. Dependant les pirates ont besoin de renseigner le préfixe de votre base de données pour faire fonctionner leur script malicieux, j’espère pour vous que ce n’est pas « wp_ » car c’est bien ce préfixe qui sera testé en premier lors de leurs attaques.

Je vous propose donc 3 solutions pour patcher en attendant :

  1. Modifier vite le préfixe de votre installation grâce au plugin « WP Security Scan » qui permet de le faire en quelques clics sans danger,
  2. Désactiver le « disk cache » et vider le contenu de /wp-content/w3tc/dbcache/,
  3. Ajouter un fichier « .htaccess » dans /wp-content/w3tc/dbcache/ avec en contenu « deny from all » même si vous avez déjà un .htaccess à la racine avec « Options -Indexes« 

Edit du 30 déc 2012

Le plugin a été mis à jour hier nuit, la version 0.9.2.5 corrige la faille.

Lire la suite

Vous aimez ? Partagez !

Abonnement gratuit à 0€


19 thoughts on “Vulnérabilité dans W3 Total Cache v0.9.2.4”

  • 1
    Rodrigue on 27 décembre 2012 Répondre
    Merci pour l’info, ce plugin est une référence pourtant, la preuve que l’on est pas à l’abri d’une faille, qui j’espère sera très vite résolue.
    • 2
      Julio Potier on 27 décembre 2012
      Oui, je l’ai déjà dis, mais connu ou pas, premium ou pas, cela reste du code PHP fait par des humains et l’erreur est humaine. Ne jetons pas la pierre, nous fautons tous ;)
  • 3
    stephane on 27 décembre 2012 Répondre
    Merci pour l’information Julio.

    Une question, quand tu dis « changé vite votre préfixe  » tu parles des tables ?
    Dans le cas ou ce préfixe avait été changé.lors de l’installation faut il de nouveau le changer ?

    merci (:

    • 4
      Julio Potier on 27 décembre 2012
      Je dis bien dans l’article « le préfixe de votre base de données » puis « j’espère pour vous que ce n’est pas “wp_” » donc oui le seul préfixe qu’on parle dans WP c’est celui des tables dans la base de données de l’installation de WP. Et si ce n’est pas « wp_ » c’est suffisant.
  • 5
    Li-An on 27 décembre 2012 Répondre
    Merci pour le WP Security Scan. Je me demandais depuis quelques temps comment modifier ce préfixe.
    • 6
      Julio Potier on 27 décembre 2012
      Merci et de rien
  • 7
    Alex on 27 décembre 2012 Répondre
    Merci pour l’info Julio, je fais tourner :)
  • 8
    Philippe Gras on 27 décembre 2012 Répondre
    Il semble que la faille n’affecte que la méthode « disk cache », et effectivement j’ai observé avec un ls que ce dossier était vide chez moi.
    • 9
      Julio Potier on 27 décembre 2012
      Oui c’est pour cela que je propose de désactiver l’option de disk cache.
      merci !
  • 10
    Humour image on 28 décembre 2012 Répondre
    Comme indiqué dans le commentaire plus haut, l’utilisation d’un cache autre que disque pour les requêtes de la bdd est donc sur.
    Ca devrait être dans une des solutions non ? Plutôt que désactiver le cache.

    Sinon, si on n’autorise pas le listing par défaut des dossiers, la faille est quand même présente?

  • 11
    Philippe Gras on 29 décembre 2012 Répondre
    Même si ça ne me concerne pas vraiment non plus, j’imagine que ça doit être la même chanson avec le dossier /wp-content/w3tc/pgcache/, pour faire du XSS, par exemple…
  • 12
    Benjamin on 10 février 2013 Répondre
    Au moment d’installer un plugin de cache sur mon blog, il y a deux mois, j’avais vraiment hésité à l’installer car il n’avait pas été mis à jour depuis plusieurs mois. ça me rassure de voir qu’il l’est toujours.
  • 13
    Naunaute on 18 février 2013 Répondre
    Je m’étais demandé pourquoi il y avait eu plusieurs mises à jour rapprochées. Bon, 4 jours de réaction ça reste acceptable pour moi.
    Sinon, même commentaire que Li-Ann pour WP Security Scan ;)
  • 14
    Reggaeton on 19 février 2013 Répondre
    Sympas pour la new je n’était pas encore au jus de ça ^^
    Jme coucherais moins bête grâce à votre news

    Tanks en tout cas ça fait plaisir de lire un bonne article

    Hop en favoris

  • 15
    Alice on 12 août 2013 Répondre
    très intéressant! merci pour l’info
  • 16
    Janette@sermon preparation assistance on 17 août 2013 Répondre
    Hey I just wanted to thank you for your blog post. It was a fascinating read and some thing I will need to
    ponder on over several days.
  • 17
    Lucien@rencontre seniors on 16 septembre 2013 Répondre
    J’arrive ici un peu tard … tant mieux, je n’ai pas à me soucier de cette faille!
    Merci pour le lien de téléchargement.

    Lucien

  • 18
    najid on 24 avril 2014 Répondre
    merci pour l’info, j’ai tjrs essayé de l’installer sur mon blog psk il est lent à l’ouverture, mais malheureusement je n’ai pas pu car je me perds dans ses réglages …
    • 19
      Julio Potier on 24 avril 2014
      Je ne peux que te recommander le plugin que j’ai fait avec 2 amis, les réglages sont simples et optionnels.
      WP Rocket

Laisser un commentaire

Avant de parler, merci de lire la charte des commentaires.

Utiliser le tag [php][/php] pour ajouter du code ou utilisez un service comme pastebin.com.
Cibler un commentateur avec un "@", merci à Mention Comments Authors !