5/5 - (6 votes)

Le plugin WordPress Better Search Replace ciblé par des pirates.

Les pirates ciblent le plugin de base de données WordPress actif sur 1 million de sites. Une activité malveillante ciblant une faille de gravité critique dans le plugin WordPress « Better Search Replace » a été détectée. Les chercheurs observent des milliers de tentatives d’attaques au cours des dernières 24 heures. Better Search Replace est un plugin WordPress avec plus d’un million d’installations qui facilite les opérations de recherche et de remplacement dans les bases de données lors du déplacement de sites Web vers de nouveaux domaines ou serveurs.

Une campagne de cyberattaque est actuellement menée par des pirates dans le but de compromettre des sites WordPress grâce à l’exploitation d’une faille de sécurité critique présente dans l’extension “Better Search Replace“. Faisons le point sur cette menace. Il y a quelques jours, WP Engine, l’éditeur de cette extension, a mis en ligne la version 1.4.5 de cette extension dans le but de corriger la faille de sécurité critique associée à la référence CVE-2023-6933 et de type “PHP object injection“.

Selon la société de cybersécurité Wordfence , l’exploitation de cette vulnérabilité pourrait permettre à des attaquants de mener diverses activités malveillantes. Bien que le plugin Better Search Replace lui-même ne contienne pas de chaîne de programmation orientée propriétés (POP), la présence d’une telle chaîne dans un autre plugin ou thème installé pourrait amplifier la menace, entraînant des suppressions de fichiers arbitraires, un accès non autorisé à des données sensibles et exécution de code arbitraire.

Better Search Replace: lorsque vous déplacez votre site WordPress vers un nouveau domaine ou un nouveau serveur, vous devrez probablement exécuter une recherche/remplacement sur la base de données pour que tout fonctionne correctement. Heureusement, plusieurs plugins sont disponibles pour cette tâche, mais tous ont une approche différente de quelques fonctionnalités clés. Ce plugin consolide les meilleures fonctionnalités de ces plugins, incorporant les fonctionnalités suivantes dans un seul plugin simple. La fonctionnalité de recherche et de remplacement est fortement basée sur l’interconnexion. C’est un excellent script open source Search Replace DB, modifié pour utiliser les fonctions de base de données natives de WordPress afin d’assurer la compatibilité.


Le code arbitraire est employé pour nommer, en parlant de piratage informatique, une action à faire faire à une machine sans que le propriétaire soit d'accord. Par exemple, en utilisant un exploit, le code arbitraire peut ouvrir une session super-utilisateur sur une machine distante, ou modifier une base de données, ou plus généralement donner accès à une information non disponible. Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.


Une politique de sécurité informatique est un plan d'actions définies pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de l'organisme (PME, PMI, industrie, administration, État, unions d'États…) en matière de sécurité informatique. Elle est liée à la sécurité de l'information. Elle définit les objectifs de sécurité des systèmes informatiques d'une organisation. Une politique de sécurité informatique est une stratégie visant à maximiser la sécurité informatique d’une entreprise. Elle est matérialisée dans un document qui reprend l’ensemble des enjeux, objectifs, analyses, actions et procédures faisant parti de cette stratégie. La stratégie qui vise à maximiser la sécurité informatique d’une entreprise se matérialise par un document qui regroupe les objectifs, les enjeux et les actions qu'elle doit mettre en œuvre. En complément de la politique de sécurité informatique, les entreprises se dotent d'une charte informatique qui établie des recommandations spécifiques au niveau des technologies informatiques. Certaines cyberattaques réussissent en contournant ou diminuant les politiques de sécurité. Le CERT et le CISA préconisent le comblement immédiat des correctifs des failles critiques et plus particulièrement ceux qui concernent les vulnérabilités de catégorie Zero Day.


Une violation de données est le rejet intentionnel ou non sécurisé de l'information au sein d'un environnement non sécurisé. Les autres termes de ce phénomène peuvent être la divulgation de l'information, la fuite de données et également le déversement de données. Une violation de données est un incident de sécurité transmettant des données sensibles, protégées ou confidentielles, qui sont volées ou utilisées par une personne non autorisée à le faire. Le phishing et le scraping sont largement utilisés pour voler des informations à l'insu de l'internaute et de l'entreprise.


Une cyberattaque est un acte malveillant envers un dispositif informatique via un réseau cybernétique. Une cyberattaque peut émaner de personnes isolées, Kevin Mitnick étant une des plus célèbres, d'un groupe de pirates ou plus récemment de vastes organisations ayant des objectifs géopolitiques. Les origines des cyberattaques sont multiples et proviennent le plus souvent d'attaques par rançongiciels, par phishing, par botnets ou via l'exploitation de failles critiques de sécurité dites Zero-Day. Les retards liés à l'application des mises à jours et correctifs d'applications accentue les risques d'intrusion dans les systèmes et les réseaux. Des exploits dormants infectent les systèmes et les réseaux non corrigés en vue de leur future activation. Un procédé qui permet de masquer l'origine de l'attaque et de voler des informations confidentielles dans un but lucratif.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

A propos de l'auteur

Retour en haut