Définitions WordPress
Retrouvez tous les termes qui définissent l'univers du CMS Open Source WordPress
Arbitrary file deletion (suppression arbitraire de fichiers) est une vulnérabilité de sécurité qui permet à un utilisateur malveillant de supprimer des fichiers d’un serveur sans autorisation. Sur WordPress, cette vulnérabilité peut avoir des conséquences graves, entraînant la suppression de fichiers essentiels, la perturbation du fonctionnement du site ou même l’injection de failles supplémentaires.
La suppression arbitraire de fichiers se produit lorsque le système ne valide pas correctement les entrées avant d’exécuter une commande de suppression de fichiers. Cela permet à des utilisateurs non autorisés d’exploiter des fonctions PHP telles que unlink
et rmdir
, ou des fonctions WordPress comme wp_delete_file
et WP_Filesystem_Direct::delete
, pour supprimer des fichiers critiques du serveur.
En PHP, les fonctions unlink
et rmdir
sont utilisées pour supprimer respectivement des fichiers et des répertoires. Cependant, si ces fonctions sont mal utilisées ou exposées à des utilisateurs malveillants, cela peut conduire à des suppressions non souhaitées. De même, WordPress offre des API spécifiques comme wp_delete_file
et wp_delete_file_from_directory
, qui, si elles ne sont pas correctement sécurisées, peuvent aussi être vulnérables.
Voici quelques fonctions couramment utilisées dans WordPress qui peuvent être exploitées pour une arbitrary file deletion :
wp_delete_file
: cette fonction supprime un fichier spécifique. Si elle est appelée sans une validation stricte de l’entrée, un utilisateur malveillant pourrait l’utiliser pour supprimer des fichiers critiques.wp_delete_file_from_directory
: fonction similaire à wp_delete_file
, mais qui permet de supprimer un fichier à partir d’un répertoire. Une faille dans la gestion des permissions peut permettre de l’exploiter.WP_Filesystem_Direct::delete
: fonction dédiée à la suppression de fichiers dans WordPress via l’API WP_Filesystem. Elle doit être utilisée avec des précautions pour éviter toute exploitation externe.WP_Filesystem_Direct::rmdir
: fonction permettant de supprimer des répertoires, elle peut également être vulnérable si elle est mal implémentée.Les conséquences d’une vulnérabilité arbitrary file deletion peuvent être catastrophiques pour un site WordPress. Les risques incluent :
Heureusement, il existe plusieurs bonnes pratiques pour éviter les vulnérabilités de suppression arbitraire de fichiers :
Vous souhaitez travailler avec notre agence ?