Faille de sécurité critique sur le plugin WordPress « Head, Footer and Post Injections »

Faille de sécurité critique sur le plugin WordPress « Head, Footer and Post Injections »

Le plugin WordPress « Head, Footer and Post Injections », largement utilisé pour insérer facilement du code dans l’en-tête, le pied de page et le contenu des publications, fait face à une faille de sécurité majeure. Cette vulnérabilité, identifiée sur la version 3.3.0 dans les environnements multisites, permet à un administrateur authentifié d’injecter du code PHP malveillant, compromettant la sécurité des sites concernés.

➡️ Ne laissez pas votre site à risque : Protégez-vous avec notre offre de maintenance et sécurité WordPress sur mesure.

Présentation du plugin « Head, Footer and Post Injections »

Développé par Stefano Lissa, le plugin « Head, Footer and Post Injections » est un outil incontournable pour de nombreux administrateurs WordPress. Il permet d’insérer facilement des scripts (comme ceux de Google Analytics, Facebook Pixel, ou des codes de personnalisation) sans modifier les fichiers du thème.

Fonctionnalités clés :

  • Ajout de scripts dans le <head>, le pied de page ou le corps des publications.
  • Gestion des codes pour les versions AMP et non-AMP.
  • Compatibilité avec les réseaux de sites WordPress (multisite).

Avec plus de 300 000 installations actives, ce plugin est très populaire, mais cette popularité le rend également attractif pour les cyberattaques.

Détails de la faille de sécurité : une injection de code PHP par administrateur authentifié

Quel type de vulnérabilité ?

La faille identifiée est une injection de code PHP authentifiée. Cela signifie qu’un utilisateur disposant des droits d’administrateur sur un réseau multisite peut insérer et exécuter du code malveillant.

Comment est-elle exploitée ?

Dans les environnements multisites, le plugin ne filtre pas correctement les entrées saisies par les administrateurs. Ainsi, un utilisateur malveillant avec des privilèges peut insérer du code PHP via les paramètres du plugin, permettant de :

  • Exécuter des commandes sur le serveur.
  • Prendre le contrôle total du site.
  • Accéder ou modifier des données sensibles.

Versions affectées :

  • Version vulnérable : 3.3.0
  • Correctif disponible : Oui, via les mises à jour du plugin.

Comment vous protéger de cette vulnérabilité ?

Pour garantir la sécurité de votre site WordPress, suivez ces recommandations :

  1. Mettez à jour le plugin : Installez la dernière version du plugin depuis le répertoire officiel WordPress.
  2. Vérifiez vos utilisateurs : Limitez les accès administrateurs uniquement aux personnes de confiance.
  3. Effectuez un audit de sécurité : Identifiez si votre site a été compromis.
  4. Sauvegardez régulièrement : Assurez-vous de disposer de sauvegardes récentes.

Protégez votre site avec notre service de maintenance et sécurité WordPress

La gestion des mises à jour et la sécurité peuvent être complexes. Notre offre de maintenance WordPress vous garantit :

  • Surveillance de sécurité 24/7
  • Mises à jour automatiques de vos plugins, thèmes et WordPress core
  • Sauvegardes régulières et restauration rapide en cas de problème
  • Audit de sécurité complet avec recommandations personnalisées

🔒 Assurez la tranquillité d’esprit de votre site WordPress dès aujourd’hui. Contactez-nous pour sécuriser votre site et éviter tout risque de piratage.

Vous aimerez aussi lire