WordPress: Faille Sécurité Majeure du Plugin Really Simple Security – La Solution me Pose Question !

Bonjour le Monde !

Ce plugin sert à installer facilement un certificat de sécurité sur un site WordPress et se retrouve sur plus de 4 millions de sites !

La faille découverte le 6 novembre permettait de contourner l'authentification à 2 facteurs y compris de façon automatisée (via script) et de s'adjuger les droits administrateur sur votre site, tout ça suite à une erreur de codage.

Qualifiée de pire faille de sécurité depuis 12 ans avec une "cote" de 9.8/10 par Wordfence (plugin de pare-feu pour WordPress), elle a été très rapidement corrigée par l'équipe de Really Simple Security (anciennement Really Simple SSL).

Là où ça me pose question, c'est la manière dont cette faille a été corrigée:

Cette faille a été corrigée en forçant la mise à jour de Really Simple Security même sur les site où la mise à jour automatique n'était pas activée !

Cela a été fait en concertation avec WordPress au vu de la dangerosité de cette faille et on peut éventuellement le comprendre.

Oui mais, cela veut aussi dire qu'il existe un moyen de forcer les mises à jour de tous les sites WordPress depuis un point central et que si ce système-là devait être compromis, on aura pas fini de rire ou de pleurer car les hackers pourraient installer ce qu'ils veulent sur tous les sites WordPress de la planète (et au-delà comme dirait l'autre) et donc en faire ce qu'ils voudraient !

Et on se chatouille avec les "backdoors" pour la NSA dans tous les programmes informatiques ? Ha ha ha !

Ben ben au moins vous êtes au courant ...

Té, au fait ? Vous avez bien un backup offline de votre site, pas vrai (offline voulant dire inatteignable depuis votre site) ?

Source: Korben sur https://korben.info/faille-critique-really-simple-security-wordpress-authentification.html

Li P'ti Fouineu vous salue bien !