La semaine dernière, nous avons publié WPML 4.6.13 et WooCommerce Multilingual 5.3.7 pour corriger un problème de sécurité signalé par Wordfence. Nous souhaitons partager des détails supplémentaires sur cette correction et ce qu’elle signifie pour la sécurité de vos sites.
Chronologie des événements
Chez WPML, la sécurité est notre priorité absolue, et nous nous engageons à garantir que vos sites web restent sûrs et sécurisés. Pour cette correction, nous avons travaillé en étroite collaboration avec Wordfence, l’un des noms les plus respectés dans la communauté de sécurité de WordPress.
Wordfence nous a contactés au sujet du problème de WPML en juillet, mais malheureusement, le message a atterri dans le dossier spam et est passé inaperçu pendant un moment. Heureusement, ils nous ont envoyé un e-mail de suivi en août et nous avons pris les choses en main, corrigeant immédiatement la vulnérabilité et fournissant à Wordfence une version corrigée pour validation.
Étant les excellents partenaires et experts qu’ils sont, Wordfence a signalé une autre vulnérabilité XSS mineure au cours du processus, que nous avons également corrigée immédiatement.
Entre-temps, nous avons également reçu un rapport de Patchstack concernant une vulnérabilité similaire dans WooCommerce Multilingual.
Après avoir obtenu leur confirmation que la correction avait passé toutes les validations, nous avons publié WPML 4.6.13 et WooCommerce 5.3.7 le 20 août.
Le rôle clé de Wordfence
Nous aimerions profiter de cette occasion pour remercier Wordfence pour leur grande aide dans l’identification et la correction de ces vulnérabilités. L’importance de leur travail pour nous et pour tout l’écosystème WordPress ne peut être surestimée.
Leur diligence dans le suivi du rapport initial et leur collaboration tout au long du processus de correction témoignent de leur engagement envers la communauté WordPress.
Comment fonctionne cette faille et ce que cela signifie pour vous
Certains articles en ligne ont décrit ce problème comme une « faille critique » affectant plus d’un million de sites. Bien que nous soyons tout à fait d’accord sur le fait que la sécurité est une question sérieuse, il est important de clarifier exactement comment cette faille fonctionne dans des situations réelles.
Cette vulnérabilité nécessite qu’un acteur malveillant dispose de privilèges d’édition sur un site WordPress. Cela signifie qu’ils doivent avoir un rôle d’utilisateur de niveau Contributeur ou supérieur sur le site ciblé.
Cela dit, la gravité dépend des types d’utilisateurs présents sur votre site. Si vous et votre équipe êtes les seuls administrateurs/rédacteurs/éditeurs du site, personne en dehors de vous ou de votre équipe ne pourrait exploiter cette vulnérabilité.
En revanche, si vous gérez un site avec des utilisateurs ayant un accès de niveau Contributeur et que vous ne connaissez pas personnellement ces personnes, vous pourriez être plus à risque.
Enfin, nous tenons à souligner qu’à aucun moment la majorité des utilisateurs de WPML n’a été en danger. Le correctif a été développé, testé et publié en étroite collaboration avec Wordfence, et le problème a été entièrement résolu.
Comme toujours, nous recommandons vivement de maintenir WPML et WooCommerce Multilingual à jour sur vos sites.
En cas de préoccupations
Pour nos utilisateurs et partenaires qui auraient pu être inquiets par les récents rapports, nous tenons à vous assurer qu’il n’y a pas lieu de s’alarmer. Le problème a été résolu rapidement et efficacement, et il n’y a aucune preuve qu’il ait été exploité dans la nature.
Si vous avez des questions ou des préoccupations, n’hésitez pas à nous contacter.
Nous restons engagés pour la sécurité de vos sites web et pour notre collaboration continue avec Wordfence et d’autres experts en sécurité.
Merci pour votre confiance continue en WPML,
L’équipe WPML