Définitions WordPress
Retrouvez tous les termes qui définissent l'univers du CMS Open Source WordPress
L’Injection d’Objet PHP Non Authentifié (POI) est une vulnérabilité de sécurité qui affecte les applications web développées en PHP, notamment les sites WordPress. Elle se produit lorsque des données non fiables fournies par l’utilisateur sont désérialisées, permettant ainsi à un attaquant d’injecter des objets PHP malveillants dans le système. Cette faille de sécurité peut être exploitée pour exécuter du code arbitraire, voler des données sensibles ou perturber le fonctionnement du site.
Le concept de l’injection d’objet PHP repose sur le processus de sérialisation et de désérialisation en PHP. La sérialisation est la conversion d’un objet PHP en une chaîne de caractères, tandis que la désérialisation est l’opération inverse, transformant une chaîne en un objet PHP. Le problème survient lorsque la fonction unserialize()
traite des données provenant d’une source non fiable. Cela permet à un attaquant d’injecter des objets malveillants qui seront désérialisés et exécutés par le serveur PHP.
Les conséquences d’une injection d’objet PHP non authentifié peuvent être désastreuses pour un site WordPress :
De nombreux plugins et thèmes WordPress qui utilisent des objets PHP et la désérialisation sans mesures de sécurité adéquates peuvent être vulnérables à cette attaque. Il est essentiel de maintenir son site et ses extensions à jour pour minimiser les risques de vulnérabilité.
Un attaquant peut exploiter une injection d’objet PHP en trouvant un point d’entrée où l’application utilise la fonction unserialize()
sur des données provenant d’une source non fiable. Par exemple, si un plugin WordPress utilise unserialize()
sur des données transmises via un formulaire ou un cookie, l’attaquant peut fournir des données spécialement conçues pour manipuler le comportement de l’application.
Les fonctions qui posent le plus de risques en matière de POI incluent :
unserialize()
: C’est la principale fonction exploitée pour les attaques POI.__wakeup()
et __destruct()
: Ces méthodes peuvent être utilisées par un attaquant pour exécuter du code lors de la désérialisation d’un objet.Voici quelques bonnes pratiques pour protéger votre site WordPress contre les POI :
unserialize()
sur des données non fiables : N’utilisez jamais la fonction unserialize()
sur des données provenant d’utilisateurs ou d’autres sources non sûres.Les signes d’une attaque POI peuvent inclure :
Vous souhaitez travailler avec notre agence ?