Une faille dans le plugin Wordpress W3-Total-Cache

Le Plugin W3-Total-Cache permet aux webmasters utilisant le CMS Worpress de mettre leurs pages en cache, ce qui à pour effet positif d'absorber beaucoup plus facilement le trafic sur le serveur.

Le hic, c'est qu'un chercheur en sécurité y a découvert une faille permettant de voir la liste des fichiers contenu dans ce cache.

Ces articles sont susceptibles de vous intéresser aussi :

Vérifier le conformité de votre code

Analysez votre site web

Intégrez des vidéos dans vos pages html

La faille se révèle active lorsque le Plugin à été installé par l'intermédiaire de la fonctionnalité "ajouter un plugin" de Wordpress.

Une simple recherche par l'intermédiaire de Google en entrant cette url "inurl:wp-content/w3tc" permet d'accéder à la liste des sites exposés et d'exploiter ce défaut de sécurité.

Parmis ces fichiers, on peut notamment retrouver les bases de données et donc directement les clefs hashées y étant inscrite.
Un petit coup de décryptage et je vous laisse imaginer les conséquences ...

Il y aurait apparemment de très nombreux site concernés par cette faille mais la sécurisation se fait à vitesse grand V.

Les correctifs et informations permettant de protéger votre site, si vous etes un utilisateur de W3TC, sont les suivantes. A vous de choisir la plus adaptée à votre cas :

  • Supprimer le plugin W3TC ainsi que le contenu en cache
  • Ou ajouter un "deny from all" dans votre fichier .htaccess
  • Ou effectuer la mise à jour du Plugin que Wordpress à publier ce jour (29/12/2012)

Vous pourrez mettre à jour votre Plugin W3TC sur le site officiel de Worpress à cette adresse